Efter Log4Shell: Google kræver sikrere open source-software

14. januar kl. 09:448
Efter Log4Shell: Google kræver sikrere open source-software
Illustration: Jette Carr/Wikimedia Commons.
Log4Shell-sårbarheden synliggør ifølge Google en risiko ved open source og foreslår efter møde med Det Hvide Hus og repræsentanter fra tech-brancen tre tiltag, der skal open source-software sikrere.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Sikkerheden i open source skal prioriteres på linje med kritisk infrastrukter, mener chefjurist i Google Kent Walker, og han foreslår samtidig tre offentlig-private samarbejder, der skal komme sikkerhedsproblemerne ved open source til livs.

Det skriver The Register.

Forslagene kommer i kølvandet på et møde mellem Det Hvide Hus og repræsentanter fra tech-branchen, der omhandlede sikkerheden i open source. Mødet blev holdt midt i december sidste år samtidig med, at en sårbarhed i Log4j-softwaren trak overskrifter verden over.

Læs også: Amerikanske myndigheder klar med bøder til virksomheder, der nøler med Log4Shell

Artiklen fortsætter efter annoncen

Samarbejderne skal identificere en liste over kritiske open source-projekter; etablere basisstandarder for sikkerhed, vedligeholdelse, oprindelse og test, og oprette en vedligeholdelsesmarkedsplads, der skal matche frivillige med trængende projekter. Kent Walker skriver i et blogindlæg om baggrunden for forslagene:

»I alt for lang tid har softwarefællesskabet trøstet sig med antagelsen om, at open source-software generelt er sikker på grund af dens gennemsigtighed og antagelsen om, at »mange øjne« så på for at opdage og løse problemer. Men virkeligheden er, at mens nogle projekter har mange øjne på dem, har andre få eller slet ingen.«

8 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
8
15. januar kl. 22:25

Det kunne endda være vi ville fange sådanne bugs i tide inden de lægger halvdelen af verdens servere ned.

Må jeg henlede opmærksomheder på: https://ec.europa.eu/info/departments/informatics/eu-fossa-2_en

The EU-FOSSA project – short for Free and Open Source Software Auditing – aims to increase the security and integrity of critical open source software. It was launched by the European Commission at the instigation of the European Parliament after the discovery of the Heartbleed bug in 2014.

Det lukkede desværre i sommeren 2020, bl.a. med ordene:

EU-FOSSA 2 covered a lot of ground with a relatively small budget. It put the EU firmly on the European open source map and made EU’s open source software safer, while creating a proven security toolkit.

Så, det kunne godt lade sig gøre. Hvorfor ikke give det ny opmærksomhed? For det kan kun være en fordel at få det under europæisk, parlamentarisk kontrol, fremfor at lade amerikansk bigtech særinteresser være dominerende.

7
15. januar kl. 15:39

Hvis nu de offentlige samt private instanser, blev bedre til at sponsorere de open source projekter, man benyttede i sin software stack, ikke nødvendigvis økonomisk, men lige så meget i form af udviklings ressourcer og upstream patches, vil jeg påstå at situationen vil se meget bedre ud :)

Det kunne endda være vi ville fange sådanne bugs i tide inden de lægger halvdelen af verdens servere ned. En ting er sikkert, open source er stadig markant bedre end hvis det var closed source. Så ville situationen blot være at man var klar over fejlen, men ikke ønskede at rette den.

6
14. januar kl. 12:53

En del af de nylige genindføret afgifter på IT udstyr kunne passende gå til OSS

5
14. januar kl. 12:38

Helt enig, Henrik.

Vi er nok mange, der er lykkelige for, at andre er kommet med en vej frem på et område, vi ikke selv har lyst/evner til at programmere. Så regn ikke med at denne gruppe kan kontrollere noget som helst for det fælles bedste.

Dette er så ikke tilfældet for store virksomheder, der gerne vil have en billig (gratis) smutvej. Her kunne code review være en meget passende 'betaling' for andre menneskers arbejde.

4
14. januar kl. 11:49

Manden har ret, der er helt sikkert open source komponentersom ikke bliver checket grundigt nok. Samtidig er det helt klart i "tech branchens" interesse at kaste mudder på open source, så der ikke er så meget fokus på hullerne i deres egen "closed source". Endelig åbner det her nok muligheder for at de bedre kan kontrollere "kritiske" open source projekter, og dermed øge deres kontrol med hele verdens kode base.

2
14. januar kl. 10:20

Man kan betragte den kritiske del som fælles, kritisk offentlig infrastruktur, og så bliver det en kritisk fælles opgave at sikre det.

Hvad ikke ændrer på, at Google o.a. skal have muldvarpen op og betale noget skat, istedet for nasse på fællesskabet.

1
14. januar kl. 09:56

De kan hive mulvarpen op kan de...