Efter Log4Shell: Google kræver sikrere open source-software

Kent Walker er chefjurist i Google. Illustration: Jette Carr/Wikimedia Commons
Log4Shell-sårbarheden synliggør ifølge Google en risiko ved open source og foreslår efter møde med Det Hvide Hus og repræsentanter fra tech-brancen tre tiltag, der skal open source-software sikrere.

Sikkerheden i open source skal prioriteres på linje med kritisk infrastrukter, mener chefjurist i Google Kent Walker, og han foreslår samtidig tre offentlig-private samarbejder, der skal komme sikkerhedsproblemerne ved open source til livs.

Det skriver The Register.

Forslagene kommer i kølvandet på et møde mellem Det Hvide Hus og repræsentanter fra tech-branchen, der omhandlede sikkerheden i open source. Mødet blev holdt midt i december sidste år samtidig med, at en sårbarhed i Log4j-softwaren trak overskrifter verden over.

Læs også: Amerikanske myndigheder klar med bøder til virksomheder, der nøler med Log4Shell

Samarbejderne skal identificere en liste over kritiske open source-projekter; etablere basisstandarder for sikkerhed, vedligeholdelse, oprindelse og test, og oprette en vedligeholdelsesmarkedsplads, der skal matche frivillige med trængende projekter. Kent Walker skriver i et blogindlæg om baggrunden for forslagene:

»I alt for lang tid har softwarefællesskabet trøstet sig med antagelsen om, at open source-software generelt er sikker på grund af dens gennemsigtighed og antagelsen om, at »mange øjne« så på for at opdage og løse problemer. Men virkeligheden er, at mens nogle projekter har mange øjne på dem, har andre få eller slet ingen.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Bjarne Nielsen

Man kan betragte den kritiske del som fælles, kritisk offentlig infrastruktur, og så bliver det en kritisk fælles opgave at sikre det.

Hvad ikke ændrer på, at Google o.a. skal have muldvarpen op og betale noget skat, istedet for nasse på fællesskabet.

  • 7
  • 1
#4 Henrik Winther Jensen

Manden har ret, der er helt sikkert open source komponentersom ikke bliver checket grundigt nok. Samtidig er det helt klart i "tech branchens" interesse at kaste mudder på open source, så der ikke er så meget fokus på hullerne i deres egen "closed source". Endelig åbner det her nok muligheder for at de bedre kan kontrollere "kritiske" open source projekter, og dermed øge deres kontrol med hele verdens kode base.

  • 15
  • 2
#5 Jan Ferré

Helt enig, Henrik.

Vi er nok mange, der er lykkelige for, at andre er kommet med en vej frem på et område, vi ikke selv har lyst/evner til at programmere. Så regn ikke med at denne gruppe kan kontrollere noget som helst for det fælles bedste.

Dette er så ikke tilfældet for store virksomheder, der gerne vil have en billig (gratis) smutvej. Her kunne code review være en meget passende 'betaling' for andre menneskers arbejde.

  • 2
  • 0
#7 Rasmus Iversen

Hvis nu de offentlige samt private instanser, blev bedre til at sponsorere de open source projekter, man benyttede i sin software stack, ikke nødvendigvis økonomisk, men lige så meget i form af udviklings ressourcer og upstream patches, vil jeg påstå at situationen vil se meget bedre ud :)

Det kunne endda være vi ville fange sådanne bugs i tide inden de lægger halvdelen af verdens servere ned. En ting er sikkert, open source er stadig markant bedre end hvis det var closed source. Så ville situationen blot være at man var klar over fejlen, men ikke ønskede at rette den.

  • 4
  • 0
#8 Bjarne Nielsen

Det kunne endda være vi ville fange sådanne bugs i tide inden de lægger halvdelen af verdens servere ned.

Må jeg henlede opmærksomheder på: https://ec.europa.eu/info/departments/informatics/eu-fossa-2_en

The EU-FOSSA project – short for Free and Open Source Software Auditing – aims to increase the security and integrity of critical open source software. It was launched by the European Commission at the instigation of the European Parliament after the discovery of the Heartbleed bug in 2014.

Det lukkede desværre i sommeren 2020, bl.a. med ordene:

EU-FOSSA 2 covered a lot of ground with a relatively small budget. It put the EU firmly on the European open source map and made EU’s open source software safer, while creating a proven security toolkit.

Så, det kunne godt lade sig gøre. Hvorfor ikke give det ny opmærksomhed? For det kan kun være en fordel at få det under europæisk, parlamentarisk kontrol, fremfor at lade amerikansk bigtech særinteresser være dominerende.

  • 3
  • 0
Log ind eller Opret konto for at kommentere