Luego de una cumbre sobre seguridad de código abierto organizada en la Casa Blanca el jueves, Google ha pedido una mayor participación del gobierno en la identificación y protección de proyectos críticos de software de código abierto.
En una publicación de blog publicada poco después de la cumbre, Kent Walker, presidente de asuntos globales y director legal de Google y Alphabet, dijo que se necesitaba la colaboración entre el gobierno y el sector privado para la gestión y el financiamiento de fuente abierta.
“Necesitamos una asociación público-privada para identificar una lista de proyectos críticos de código abierto, con una criticidad determinada en función de la influencia y la importancia de un proyecto, para ayudar a priorizar y asignar recursos para las evaluaciones y mejoras de seguridad más esenciales”, escribió Walker.
La publicación del blog también pidió un aumento en la inversión pública y privada para mantener seguro el ecosistema de código abierto, particularmente cuando el software se usa en proyectos de infraestructura. En su mayor parte, el financiamiento y la revisión de tales proyectos están a cargo del sector privado.
La Casa Blanca no había respondido a una solicitud de comentarios al momento de la publicación.
“El código de software de fuente abierta está disponible para el público, gratis para que cualquiera lo use, modifique o inspeccione... Es por eso que muchos aspectos de la infraestructura crítica y los sistemas de seguridad nacional lo incorporan”, escribió Walker. “Pero no hay una asignación oficial de recursos y pocos requisitos o estándares formales para mantener la seguridad de ese código crítico. De hecho, la mayor parte del trabajo para mantener y mejorar la seguridad del código abierto, incluida la reparación de vulnerabilidades conocidas, se realiza de forma voluntaria ad hoc”.
La escasez de fondos y recursos para el desarrollo de código abierto se ha planteado durante mucho tiempo como un problema de seguridad y ha resurgido como un problema clave después del descubrimiento de un error grave en la biblioteca de Java Log4j, que rápidamente se convirtió en la mayor vulnerabilidad de seguridad cibernética en los últimos años . años _ La biblioteca Log4j también fue desarrollada y mantenida en gran parte por mano de obra no remunerada.
Cuando los proyectos de código abierto reciben financiación, generalmente provienen de fuentes privadas, como donaciones individuales o patrocinio de empresas tecnológicas. Google contribuyó recientemente con $ 1 millón al programa de recompensas Secure Open Source (SOS), un plan piloto que está ejecutando la Fundación Linux para compensar financieramente a los desarrolladores que trabajan para mejorar la seguridad de los proyectos de código abierto.
En un comunicado, Eric Brewer, vicepresidente de infraestructura de Google, dijo:
“Aunque se llamó cumbre, la reunión de hoy fue efectivamente una sesión de trabajo para desarrollar soluciones concretas y pragmáticas para mejorar la seguridad de código abierto. Los participantes acordaron ampliamente en los enfoques para identificar y asegurar proyectos críticos y, en particular, respaldar esos esfuerzos con una inversión real. Es especialmente crucial que aquellos que mantienen proyectos de código abierto reciban los recursos y el apoyo que necesitan para garantizar que estén bien mantenidos y puedan solucionar las vulnerabilidades rápidamente. Aplaudimos a la Casa Blanca por su liderazgo en este importante tema”.
Fuente: theverge | somoslibres
