Google a demandé au gouvernement américain d’adopter une approche plus proactive pour identifier et protéger les outils de cybersécurité open source essentiels à la sécurité d’Internet.
Celui de la firme article de blog à la suite du sommet sur la vulnérabilité Log4j de la Maison Blanche jeudi, a noté que le pays avait besoin d’un partenariat public-privé pour établir un tel programme.
Kent Walker, directeur juridique de Google et Alphabet, a déclaré: «Nous avons besoin d’un partenariat public-privé pour identifier une liste de projets open source critiques – avec une criticité déterminée en fonction de l’influence et de l’importance d’un projet – pour aider à hiérarchiser et allouer les ressources pour les évaluations et améliorations de sécurité les plus essentielles.
Google demande l’aide du gouvernement pour des projets open source plus sécurisés
Le message a souligné la nécessité de davantage d’investissements publics et privés pour protéger l’environnement open source, en particulier lorsque des logiciels sont utilisés dans des projets d’infrastructure. Le secteur privé, dans son ensemble, gère le financement et l’évaluation de ces initiatives.
“Le code logiciel open source est accessible au public, gratuit pour quiconque peut l’utiliser, le modifier ou l’inspecter… C’est pourquoi de nombreux aspects des infrastructures critiques et des systèmes de sécurité nationale l’intègrent”, a écrit Walker. « Mais il n’y a pas d’allocation officielle de ressources et peu d’exigences ou de normes formelles pour maintenir la sécurité de ce code critique. En fait, la plupart du travail pour maintenir et améliorer la sécurité de l’open source, y compris la correction des vulnérabilités connues, est effectué sur une base ad hoc et bénévole.
Après la découverte d’une faille majeure dans la bibliothèque Java Log4j, qui est rapidement devenue la vulnérabilité de cybersécurité la plus grave de ces dernières années, les inquiétudes concernant un manque de ressources financières et techniques pour le développement open source ont longtemps été soulevées. La bibliothèque Log4j a également été principalement développée et maintenue par des bénévoles.
Google ferme le projet Museletter trois mois seulement après son lancement
Les sources privées, telles que les dons individuels ou le parrainage d’entreprise, sont responsables de la majorité du financement des projets open source. Google a contribué 1 million de dollars au programme de récompenses Secure Open Source (SOS), un projet pilote géré par la Fondation Linux pour récompenser financièrement les développeurs travaillant à renforcer la sécurité des projets open source.
