Googleは、インターネットのセキュリティに不可欠なオープンソースのサイバーセキュリティツールを特定して保護するために、より積極的なアプローチを取るよう米国政府に要請しました。
木曜日にホワイトハウスのLog4j脆弱性サミットに続く同社のブログ投稿は、国がそのようなプログラムを確立するために官民パートナーシップを必要としていることを指摘しました。
GoogleとAlphabetの最高法務責任者であるKentWalkerは、次のように述べています。「プロジェクトの影響力と重要性に基づいて重要度が決定される重要なオープンソースプロジェクトのリストを特定するには、官民パートナーシップが必要です。最も重要なセキュリティ評価と改善のために。」
Googleは、より安全なオープンソースプロジェクトのために政府の支援を求めています
ポストは、特にソフトウェアがインフラストラクチャプロジェクトで利用される場合、オープンソース環境を保護するために、より多くの公的および私的投資の必要性を強調しました。 全体として、民間部門はこれらのイニシアチブの資金調達と評価を管理しています。
「オープンソースソフトウェアコードは一般に公開されており、誰でも無料で使用、変更、検査できます。そのため、重要なインフラストラクチャと国家安全保障システムの多くの側面にコードが組み込まれています」とウォーカー氏は述べています。 「しかし、公式のリソース割り当てはなく、その重要なコードのセキュリティを維持するための正式な要件や標準はほとんどありません。 実際、既知の脆弱性の修正を含む、オープンソースのセキュリティを維持および強化するための作業のほとんどは、アドホックなボランティアベースで行われます。」
Log4j Javaライブラリに大きな欠陥が発見された後、これはすぐに近年最も深刻なサイバーセキュリティの脆弱性になりましたが、オープンソース開発のための財政的および技術的リソースの不足についての懸念が長い間提起されてきました。 Log4jライブラリも、主にボランティアの作業によって開発および保守されました。
GoogleはMuseletterプロジェクトを立ち上げてからわずか3か月後にシャットダウンします
個人の寄付や企業のスポンサーシップなどの民間の資金源が、オープンソースプロジェクトの資金の大部分を担っています。 Googleは、オープンソースプロジェクトのセキュリティを強化するために取り組んでいる開発者に金銭的な報酬を与えるためにLinuxFoundationが運営するパイロットプロジェクトであるSecureOpen Source(SOS)報酬プログラムに100万ドルを寄付しました。