После инцидента с Log4j ПО с открытым исходным кодом стало проблемой национальной безопасности

Белый дом созвал встречу между крупнейшими игроками технологического рынка

3 мин.
После инцидента с Log4j ПО с открытым исходным кодом стало проблемой национальной безопасности

В течение многих лет разработчики бесплатного программного обеспечения с открытым исходным кодом говорили всем, что их проекты нуждаются в лучшей финансовой помощи и большем контроле. Теперь, после ряда катастрофических инцидентов с Open Source-проектами, федеральное правительство и Кремниевая долина, возможно, наконец-то прислушаются к ним.

На встрече в Белом доме руководители некоторых крупнейших компаний технологического сектора встретились с представителями администрации, чтобы обсудить необходимость повышения безопасности в сообществе разработчиков с открытым исходным кодом. В списке участников встречи были такие крупные компании, как Google, Facebook, Microsoft, Amazon, Oracle, Apple и другие.

В отличие от проприетарного программного обеспечения, ПО с открытым исходным кодом является бесплатным, общедоступным и может быть использовано или изменено кем угодно. Из-за того, насколько полезными могут быть такие инструменты, крупные корпорации часто используют их в целях развития. Но, к сожалению, проекты с открытым исходным кодом нуждаются в контроле и финансировании, чтобы оставаться надёжными, а такую поддержку они получают не всегда. В течение многих лет разработчики с открытым исходным кодом жаловались, что их программное обеспечение нуждается в поддержке со стороны Big Tech и других институциональных игроков. И, наконец, эта проблема привлекла внимание широкой общественности.

Нетрудно догадаться, почему Белый дом созвал совещание именно сейчас. Всего месяц назад в популярной библиотеке протоколирования с открытым исходным кодом Apache log4j была обнаружена опасная ошибка. Проблемное ПО, которым пользуются практически все, привела к широкомасштабной панике в технологической отрасли, поскольку компании бросились исправлять системы и продукты, успех которых зависел от этой библиотеки. (Официальные представители Apache Software Foundation также присутствовали на встрече в четверг).

Log4j – не единственная катастрофа с ПО с открытым исходным кодом, произошедшая в последнее время. Только на прошлой неделе создатель двух широко используемых программных инструментов решил необъяснимым образом отключить их с помощью ряда обновлений программного обеспечения. Марак Сквайрс, человек, стоящий за популярными библиотеками JavaScript Faker и Colors, странным образом отключил эти программы и умудрился вывести из строя тысячи других проектов, которые полагались на их работу.

Одним словом, здесь явно есть место для дальнейших изменений, и, к счастью, участники недавнего совещания в Белом доме, похоже, не возражают против них. На встрече советник Белого дома по национальной безопасности Джейк Салливан назвал программное обеспечение с открытым исходным кодом «ключевым вопросом национальной безопасности». Аналогичным образом, президент Google по глобальным вопросам и главный юридический директор Кент Уокер опубликовал в заявление в блоге компании, в котором утверждалось, что он хотел бы видеть лучшую поддержку сообщества разработчиков ПО с открытым исходным кодом.

«Слишком долгое время сообщество разработчиков программного обеспечения было уверено в том, что программное обеспечение с открытым исходным кодом в целом безопасно благодаря его прозрачности и предположению о том, что «множество глаз» следят за тем, чтобы обнаружить проблемы в ПО и решить их», — сказал Уокер. «Но на самом деле, в то время как за некоторыми проектами наблюдает множество специалистов, за другими — лишь еденицы или вообще никто».

В своем заявлении Уокер предлагает увеличить государственную и частную поддержку проектов с открытым исходным кодом, установить базовые показатели безопасности и тестирования, а также разработать систему определения «критических» проектов — тех, которые часто используются (т.е., вероятно, что-то вроде log4j).

Что именно правительство и другие представители индустрии имеют в виду под улучшением безопасности открытого исходного кода, на данный момент не совсем ясно, но тот факт, что они говорят об этом, кажется хорошим знаком.


Ещё по теме:


Больше интересного в нашем Telegram.
А ещё можете читать нас на Яндекс.Дзен, в Google Новостях и смотреть на YouTube.