Después de participar en la reciente Cumbre de seguridad de software de código abierto de la Casa Blanca, Google ahora pide una asociación público-privada no solo para financiar sino también para dotar de personal proyectos críticos de código abierto.
En una nueva publicación de blog, el presidente de Asuntos Globales y director legal de Google y Alphabet, Kent Walker, describió los planes del gigante de las búsquedas para proteger mejor el ecosistema de software de código abierto.
Durante demasiado tiempo, las empresas y los gobiernos se han consolado con la suposición de que el software de fuente abierta es generalmente seguro debido a su naturaleza transparente. Si bien muchos creen que más ojos vigilantes pueden ayudar a detectar y solucionar problemas en la comunidad de código abierto, algunos proyectos en realidad no tienen muchos ojos sobre ellos, mientras que otros tienen pocos o ninguno.
Para su crédito, Google ha trabajado para crear conciencia sobre el estado de la seguridad de código abierto y la empresa ha invertido millones en el desarrollo de marcos y nuevas herramientas de protección. Sin embargo, la vulnerabilidad Log4j y otras anteriores han demostrado que se necesita más trabajo en todo el ecosistema para desarrollar nuevos modelos para mantener y proteger el software de código abierto.
Asociación público privada
En su publicación de blog, Kent propone crear una nueva asociación público-privada para identificar una lista de proyectos críticos de código abierto para ayudar a priorizar y asignar recursos para mantenerlos seguros.
Sin embargo, a largo plazo, se deben implementar nuevas formas de identificar el software de código abierto y los componentes que pueden representar un riesgo para el sistema para anticipar el nivel de seguridad requerido y proporcionar los recursos adecuados.
Al mismo tiempo, se deben establecer líneas de base de seguridad, mantenimiento y pruebas en los sectores público y privado. Esto ayudará a garantizar que la infraestructura nacional y otros sistemas importantes puedan seguir dependiendo de proyectos de código abierto. Según Kent, estos estándares también deben desarrollarse a través de un proceso de colaboración "que haga hincapié en las actualizaciones frecuentes, las pruebas continuas y la integridad verificada". Afortunadamente, la comunidad de software ya ha comenzado este trabajo con organizaciones como OpenSFF trabajando en toda la industria para crear estos estándares.
Ahora que Google ha intervenido en el tema de la seguridad de código abierto, espere que otros gigantes tecnológicos como Microsoft y Apple presenten sus propias ideas al respecto.
También hemos reunido el mejor software de código abierto y las mejores computadoras portátiles comerciales.