Google solicito a EE. UU. que haga que de los proyectos open source criticos sean más seguros
Después de la «Summit on open-source security» organizada en la Casa Blanca, Google ha pedido una mayor participación del gobierno en la identificación y protección de proyectos críticos de software de código abierto.
Mediante una publicación Kent Walker, presidente de asuntos globales y director legal de Google, quien dijo en una publicación de blog que se necesita una colaboración más estrecha entre el sector privado y el gobierno para garantizar más financiamiento y liderazgo para la seguridad del software de código abierto.
“Necesitamos una asociación público-privada para identificar una lista de proyectos críticos de código abierto, con la criticidad determinada en función de la influencia y la importancia de un proyecto, para ayudar a priorizar y asignar recursos para las evaluaciones y mejoras de seguridad más esenciales”, escribió Walker.
A más largo plazo, esa asociación debe idear nuevas formas de identificar el software de código abierto que podría representar un riesgo sistémico, en función de cómo se integre con proyectos críticos, de modo que pueda anticipar el nivel de seguridad necesario para garantizar su seguridad. , agregó Walker.
Google también quiere que el gobierno y las industrias se unan para establecer estándares de referencia para la seguridad, el mantenimiento, la procedencia y las pruebas del software de código abierto.
Eso es para garantizar que la infraestructura nacional y otros sistemas importantes puedan confiar en dichos proyectos. Walker dijo que los estándares deben desarrollarse a través de un proceso colaborativo que enfatice actualizaciones frecuentes, pruebas continuas e integridad verificada.
Por último, Walker solicitó más fondos tanto del gobierno como del sector privado. Señaló que muchas empresas y organizaciones líderes ni siquiera saben cuánto de su infraestructura crítica se basa en proyectos de código abierto.
Para remediar eso, pidió una mayor conciencia, así como la creación de un mercado para el mantenimiento de código abierto que uniría a los voluntarios de empresas y organizaciones con proyectos críticos que necesitan apoyo. Walker prometió que Google está listo para apoyar tal iniciativa.
La falta de recursos para el mantenimiento y la seguridad del software de código abierto es un problema que se planteó en el pasado, pero resurgió este mes tras el descubrimiento de una falla grave en la biblioteca Java de Log4j, una de las mayores vulnerabilidades de ciberseguridad detectadas en años recientes. La biblioteca Log4j es de código abierto, en su mayoría desarrollada y mantenida por mano de obra no remunerada.
“El código de software de código abierto está disponible para el público, gratis para que cualquiera lo use, modifique o inspeccione”, escribió Walker. “Es por eso que muchos aspectos de la infraestructura crítica y los sistemas de seguridad nacional lo incorporan. Pero no hay asignación oficial de recursos y pocos requisitos o estándares formales para mantener la seguridad de ese código crítico. De hecho, la mayor parte del trabajo para mantener y mejorar la seguridad del código abierto, incluida la reparación de vulnerabilidades conocidas, se realiza de forma voluntaria ad hoc”.
La mayor parte de la financiación del software de código abierto suele provenir de donaciones individuales de simpatizantes o del patrocinio de empresas tecnológicas que dependen de él. Por ejemplo, Google comprometió recientemente $100 millones para el programa de recompensas Secure Open Source de la Fundación Linux, cuyo objetivo es proporcionar una compensación financiera a los desarrolladores que mejoran la seguridad de los proyectos clave.
Por su parte, la unidad Red Hat de IBM Corp., cuyos ejecutivos asistieron a la reunión del Consejo de Seguridad Nacional de la Casa Blanca, dijo que apoya los esfuerzos del gobierno para mejorar la seguridad de todo tipo de software.
“Un tema clave de la reunión fue el reconocimiento de que el software de código abierto ha acelerado el ritmo de la innovación tecnológica, brinda enormes beneficios sociales y económicos y puede contribuir en gran medida a mejorar la confianza y la ciberseguridad”, dijo Red Hat en un comunicado
“Esperamos trabajar con la Administración y un amplio conjunto de partes interesadas en los próximos pasos y continuaremos enfocándonos en apoyar a nuestros clientes y fortalecer el ecosistema de código abierto”.
Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.