Google hat die US-Regierung gebeten, bei der Identifizierung und dem Schutz von Open-Source-Cybersicherheitstools, die für die Sicherheit des Internets unerlässlich sind, einen proaktiveren Ansatz zu verfolgen.
Die der Firma Blogeintrag im Anschluss an den Log4j-Vulnerability-Gipfel des Weißen Hauses am Donnerstag darauf hingewiesen, dass das Land eine öffentlich-private Partnerschaft benötigt, um ein solches Programm einzurichten.
Kent Walker, Chief Legal Officer bei Google und Alphabet, sagte: „Wir brauchen eine öffentlich-private Partnerschaft, um eine Liste kritischer Open-Source-Projekte zu erstellen – wobei die Kritikalität auf der Grundlage des Einflusses und der Bedeutung eines Projekts bestimmt wird – um bei der Priorisierung und Zuweisung von Ressourcen zu helfen für die wichtigsten Sicherheitsbewertungen und Verbesserungen.“
Google fordert staatliche Hilfe für sicherere Open-Source-Projekte
Der Beitrag betonte die Notwendigkeit von mehr öffentlichen und privaten Investitionen, um die Open-Source-Umgebung zu schützen, insbesondere wenn Software in Infrastrukturprojekten verwendet wird. Der Privatsektor verwaltet im Allgemeinen die Finanzierung und Bewertung dieser Initiativen.
„Open-Source-Softwarecode steht der Öffentlichkeit zur Verfügung, jeder kann ihn kostenlos verwenden, modifizieren oder untersuchen … Deshalb ist er in vielen Aspekten kritischer Infrastrukturen und nationaler Sicherheitssysteme integriert“, schrieb Walker. „Aber es gibt keine offizielle Ressourcenzuweisung und nur wenige formelle Anforderungen oder Standards für die Aufrechterhaltung der Sicherheit dieses kritischen Codes. Tatsächlich wird der größte Teil der Arbeit zur Aufrechterhaltung und Verbesserung der Sicherheit von Open Source, einschließlich der Behebung bekannter Schwachstellen, auf freiwilliger Ad-hoc-Basis durchgeführt.“
Nach der Entdeckung eines großen Fehlers in der Java-Bibliothek Log4j, der sich schnell zur schwerwiegendsten Cybersicherheitslücke der letzten Jahre entwickelte, wurden lange Bedenken wegen fehlender finanzieller und technischer Ressourcen für die Open-Source-Entwicklung geäußert. Auch die Log4j-Bibliothek wurde überwiegend ehrenamtlich entwickelt und gepflegt.
Google beendet das Museletter-Projekt nach nur drei Monaten seines Starts
Private Quellen, wie z. B. Einzelspenden oder Unternehmenssponsoring, sind für den Großteil der Finanzierung von Open-Source-Projekten verantwortlich. Google hat 1 Million US-Dollar zum Prämienprogramm Secure Open Source (SOS) beigetragen, einem Pilotprojekt der Linux Foundation, um Entwickler finanziell zu belohnen, die an der Stärkung der Sicherheit von Open-Source-Projekten arbeiten.
