Google sponsorizza le revisioni di sicurezza OSTIF del software open source critico

5

I Transform Technology Summit iniziano il 13 ottobre con Low-Code/No Code: Enabling Enterprise Agility. Iscriviti ora!

Lascia il Newsletter OSS Enterprise guida il tuo viaggio nell’open source! Iscriviti qui.

Google sta dando il suo sostegno finanziario all’Open Source Technology Improvement Fund (OSTIF), con l’intenzione di sponsorizzare le revisioni della sicurezza in una manciata di progetti software open source critici.

Il software open source svolge un ruolo fondamentale nella catena di fornitura del software ed è incorporato in molte infrastrutture critiche e sistemi di sicurezza nazionali. Tuttavia, i dati suggeriscono che gli attacchi “a monte” al software open source sono aumentati in modo significativo nell’ultimo anno. Inoltre, dopo che innumerevoli organizzazioni, dalle agenzie governative agli ospedali e alle aziende, sono state colpite da attacchi mirati alla catena di fornitura di software, il presidente Biden ha emesso un ordine esecutivo a maggio che delinea le misure per combatterlo.

Open-source

L’annuncio di oggi arriva meno di un mese dopo che Google ha annunciato un impegno di sicurezza informatica da 10 miliardi di dollari per sostenere i piani del presidente Biden per rafforzare le difese informatiche statunitensi. Come parte del suo investimento quinquennale, Google ha affermato che aiuterebbe a finanziare le espansioni del programma Zero Trust, a proteggere la catena di fornitura del software, a migliorare la sicurezza dell’open source e altro ancora.

In particolare, Google ha promesso 100 milioni di dollari a fondazioni di terze parti che supportano la sicurezza open source.

I primi frutti di questo impegno vedranno Google finanziare il nuovo programma di audit gestito (MAP) di OSTIF, con l’obiettivo di espandere le sue revisioni di sicurezza esistenti a più progetti. OSTIF, un’organizzazione senza scopo di lucro fondata nel 2015 per supportare gli audit di sicurezza nelle tecnologie open source, ha inizialmente identificato 25 progetti per MAP, che si dice identifica “l’infrastruttura digitale più critica”. Da lì, ha dato la priorità a otto librerie, framework e app “che trarrebbero il massimo vantaggio dai miglioramenti della sicurezza e avranno il maggiore impatto sull’ecosistema open source che si basa su di essi”.

Questi otto progetti sono: Git, Lodash, Laravel, Slf4j, Jackson-core, Jackson-databind, Httpcomponents-core e Httpcomponents-client.

Vale la pena notare che l’investimento di Google non è del tutto altruistico, poiché il proprio software e la propria infrastruttura si basano molto su robusti componenti open source: il gigante di Internet ha annunciato una serie di iniziative di sicurezza simili relative all’open source quest’anno. A febbraio, Google ha rivelato che stava sponsorizzando gli sviluppatori del kernel Linux, ad esempio, mentre pochi mesi fa ha introdotto i livelli della catena di approvvigionamento per gli artefatti software (SLSA), che pubblicizza come un framework end-to-end per “garantire l’integrità di artefatti software lungo tutta la catena di fornitura del software”. La società ha inoltre recentemente esteso il proprio database di vulnerabilità open source per coprire Python, Rust, Go e DWF.

Sebbene OSTIF stia concentrando MAP su solo otto progetti per ora, spera di “far crescere in modo significativo le operazioni per supportare centinaia di progetti nei prossimi anni”.

VentureBeat

La missione di VentureBeat è quella di essere una piazza cittadina digitale per i responsabili delle decisioni tecniche per acquisire conoscenze sulla tecnologia trasformativa e sulle transazioni. Il nostro sito fornisce informazioni essenziali sulle tecnologie e sulle strategie dei dati per guidarti nella guida delle tue organizzazioni. Ti invitiamo a diventare un membro della nostra community, per accedere a:

  • informazioni aggiornate sugli argomenti di tuo interesse
  • le nostre newsletter
  • contenuti gated leader di pensiero e accesso scontato ai nostri eventi preziosi, come Trasforma 2021: Per saperne di più
  • funzioni di rete e altro

Diventare socio