O Google pediu ao governo dos EUA que adote uma abordagem mais proativa na identificação e proteção de ferramentas de segurança cibernética de código aberto que são essenciais para a segurança da Internet.
O da firma postagem do blog após a cúpula de vulnerabilidade Log4j da Casa Branca na quinta-feira, observou que o país precisa de uma parceria público-privada para estabelecer tal programa.
Kent Walker, diretor jurídico do Google e da Alphabet, disse: “Precisamos de uma parceria público-privada para identificar uma lista de projetos críticos de código aberto – com criticidade determinada com base na influência e importância de um projeto – para ajudar a priorizar e alocar recursos para as avaliações e melhorias de segurança mais essenciais.”
Google pede ajuda do governo para projetos de código aberto mais seguros
O post enfatizou a necessidade de mais investimentos públicos e privados para proteger o ambiente de código aberto, principalmente quando o software é utilizado em projetos de infraestrutura. O setor privado, em geral, gerencia o financiamento e a avaliação dessas iniciativas.
“O código de software de código aberto está disponível ao público, gratuito para qualquer pessoa usar, modificar ou inspecionar… É por isso que muitos aspectos da infraestrutura crítica e dos sistemas de segurança nacional o incorporam”, escreveu Walker. “Mas não há alocação oficial de recursos e poucos requisitos ou padrões formais para manter a segurança desse código crítico. Na verdade, a maior parte do trabalho para manter e aprimorar a segurança do código aberto, incluindo a correção de vulnerabilidades conhecidas, é feito de forma voluntária e ad hoc.”
Após a descoberta de uma grande falha na biblioteca Log4j Java, que rapidamente se tornou a vulnerabilidade de segurança cibernética mais grave dos últimos anos, preocupações sobre a falta de recursos financeiros e técnicos para o desenvolvimento de código aberto foram levantadas há muito tempo. A biblioteca Log4j também foi desenvolvida e mantida principalmente por trabalho voluntário.
Google encerra projeto Museletter após apenas três meses de seu lançamento
Fontes privadas, como doações individuais ou patrocínio corporativo, são responsáveis pela maior parte do financiamento de projetos de código aberto. O Google contribuiu com US$ 1 milhão para o programa de recompensas Secure Open Source (SOS), um projeto piloto executado pela Linux Foundation para recompensar financeiramente os desenvolvedores que trabalham para fortalecer a segurança de projetos de código aberto.