Açık kaynaklı projelerin güvenliği Google’ın gündeminde. Teknoloji devi, ABD hükümetinden internetin güvenliği için gerekli olan açık kaynaklı siber güvenlik araçlarını belirleme ve koruma konusunda daha proaktif bir yaklaşım benimsemesini istedi.
“Bir projenin etkisine ve önemine göre belirlenen kritiklik ile kritik açık kaynak projelerinin bir listesini belirlemek için bir kamu-özel ortaklığına ihtiyacımız var.
-Google ve Alphabet’in baş hukuk görevlisi Kent Walker
Google, daha güvenli açık kaynaklı projeler için hükümetten yardım istiyor
Açıklama, özellikle altyapı projelerinde yazılım kullanıldığında, açık kaynak ortamını korumak için daha fazla kamu ve özel yatırımın gerekliliğini vurguladı. Genel olarak özel sektör, bu girişimlerin finansmanını ve değerlendirmesini yönetir.
“Açık kaynak yazılım kodu halka açıktır, herkesin kullanması, değiştirmesi veya incelemesi için ücretsizdir. Kritik altyapının ve ulusal güvenlik sistemlerinin birçok yönü bu kodu içerir… Ancak bu kritik kodun güvenliğini sağlamak için resmi bir kaynak tahsisi ve birkaç resmi gereklilik veya standart bulunmuyor. Aslında, bilinen güvenlik açıklarını düzeltmek de dahil olmak üzere açık kaynağın güvenliğini korumak ve geliştirmek için yapılan çalışmaların çoğu, geçici, gönüllülük bazında yapılır.”
-Walker
Hızla son yılların en ciddi siber güvenlik açığı haline gelen Log4j Java kitaplığındaki büyük bir kusurun keşfedilmesinden sonra, açık kaynak geliştirme için finansal ve teknik kaynakların eksikliğine ilişkin endişeler uzun süredir dile getiriliyor. Log4j kütüphanesi de öncelikle gönüllü çalışmalarla geliştirildi ve sürdürüldü.
Siber güvenlik ve kullanıcı deneyimi ilişkisi
Bireysel bağışlar veya kurumsal sponsorluk gibi özel kaynaklar, açık kaynak projelerinin finansmanının çoğundan sorumludur. Google, Linux Vakfı tarafından açık kaynak projelerinin güvenliğini güçlendirmek için çalışan geliştiricileri finansal olarak ödüllendirmek için yürütülen bir pilot proje olan Güvenli Açık Kaynak (SOS) ödül programına 1 milyon dolar katkıda bulundu.