Google ha pedido al gobierno de EE. UU. que adopte un enfoque más proactivo para identificar y proteger las herramientas de ciberseguridad de código abierto que son esenciales para la seguridad de Internet.
La publicación del blog de la firma luego de la cumbre de vulnerabilidad Log4j de la Casa Blanca el jueves señaló que el país necesita una asociación público-privada para establecer dicho programa.
Kent Walker, director legal de Google y Alphabet, dijo: “Necesitamos una asociación público-privada para identificar una lista de proyectos críticos de código abierto, con la criticidad determinada en función de la influencia y la importancia de un proyecto, para ayudar a priorizar y asignar recursos. para las evaluaciones y mejoras de seguridad más esenciales”.
Google pide ayuda del gobierno para proyectos de código abierto más seguros
La publicación enfatizó la necesidad de una mayor inversión pública y privada para salvaguardar el entorno de código abierto, particularmente cuando el software se utiliza en proyectos de infraestructura. El sector privado, en su conjunto, gestiona el financiamiento y la evaluación de estas iniciativas.
“El código de software de fuente abierta está disponible para el público, gratis para que cualquiera lo use, modifique o inspeccione… Es por eso que muchos aspectos de la infraestructura crítica y los sistemas de seguridad nacional lo incorporan”, escribió Walker. “Pero no hay una asignación oficial de recursos y pocos requisitos o estándares formales para mantener la seguridad de ese código crítico. De hecho, la mayor parte del trabajo para mantener y mejorar la seguridad del código abierto, incluida la reparación de vulnerabilidades conocidas, se realiza de forma voluntaria ad hoc”.
Después del descubrimiento de una falla importante en la biblioteca Java de Log4j, que rápidamente se convirtió en la vulnerabilidad de seguridad cibernética más grave de los últimos años, se han planteado preocupaciones sobre la falta de recursos financieros y técnicos para el desarrollo de código abierto. La biblioteca Log4j también fue desarrollada y mantenida principalmente por trabajo voluntario.
Google cierra el proyecto Muselette después de solo tres meses de su lanzamiento
Las fuentes privadas, como las donaciones individuales o el patrocinio corporativo, son responsables de la mayoría de la financiación de los proyectos de código abierto. Google ha contribuido con un millón de dólares al programa de recompensas Secure Open Source (SOS), un proyecto piloto dirigido por la Fundación Linux para recompensar financieramente a los desarrolladores que trabajan para fortalecer la seguridad de los proyectos de código abierto.