Log4j: Google dan IBM meminta daftar proyek sumber terbuka yang penting
Security

Log4j: Google dan IBM meminta daftar proyek sumber terbuka yang penting

Google dan IBM mendesak organisasi teknologi untuk bergabung guna mengidentifikasi proyek sumber terbuka yang penting setelah menghadiri pertemuan Gedung Putih tentang masalah keamanan sumber terbuka.

Pertemuan tersebut, yang dipimpin oleh pemimpin keamanan siber Gedung Putih Anne Neuberger, termasuk pejabat dari organisasi seperti Apache, Google, Apple, Amazon, IBM, Microsoft, Meta, Linux, dan Oracle serta lembaga pemerintah seperti Departemen Pertahanan dan Keamanan Siber dan Infrastruktur. Badan Keamanan (CISA). Pertemuan berlangsung saat organisasi terus mengatasi kerentanan Log4j yang telah menimbulkan kekhawatiran sejak ditemukan pada bulan Desember.

Kent Walker, presiden urusan global di Google dan Alphabet, mengatakan bahwa, mengingat pentingnya infrastruktur digital bagi dunia, inilah saatnya untuk mulai memikirkannya dengan cara yang sama seperti yang kita lakukan pada infrastruktur fisik kita.

“Perangkat lunak open source adalah jaringan penghubung untuk sebagian besar dunia online — ia layak mendapatkan fokus dan pendanaan yang sama yang kami berikan untuk jalan dan jembatan kami,” kata Walker.

Dalam sebuah posting blog, Walker menjelaskan bahwa selama pertemuan tersebut, Google mengajukan beberapa proposal tentang bagaimana bergerak maju setelah kerentanan Log4j.

Walker mengatakan kemitraan publik-swasta diperlukan untuk mengidentifikasi daftar proyek sumber terbuka yang kritis, dan kekritisan harus ditentukan berdasarkan pengaruh dan pentingnya proyek. Daftar ini akan membantu organisasi memprioritaskan dan mengalokasikan sumber daya untuk penilaian dan peningkatan keamanan yang paling penting.

Eksekutif keamanan perusahaan IBM Jamie Thomas menggemakan komentar Walker dan mengatakan pertemuan Gedung Putih “menjelaskan bahwa pemerintah dan industri dapat bekerja sama untuk meningkatkan praktik keamanan untuk open source.”

“Kita bisa mulai dengan mendorong adopsi standar keamanan terbuka dan masuk akal secara luas, mengidentifikasi aset sumber terbuka penting yang harus memenuhi persyaratan keamanan paling ketat, dan mempromosikan upaya nasional kolaboratif untuk memperluas pelatihan dan pendidikan keterampilan dalam keamanan sumber terbuka dan memberi penghargaan kepada pengembang yang membuat langkah penting di lapangan,” kata Thomas.

Walker memuji kerja organisasi seperti OpenSSF — yang diinvestasikan Google sebesar $100 juta — yang sudah berusaha menciptakan standar seperti ini.

Dia juga mengatakan Google mengusulkan untuk mendirikan sebuah organisasi yang berfungsi sebagai pasar untuk pemeliharaan sumber terbuka, mencocokkan sukarelawan dari perusahaan dengan proyek-proyek penting yang paling membutuhkan dukungan. Dia mencatat bahwa Google “siap untuk menyumbangkan sumber daya” untuk langkah tersebut.

Posting blog mencatat bahwa tidak ada alokasi sumber daya resmi dan sedikit persyaratan atau standar formal untuk menjaga keamanan kode sumber terbuka kritis. Sebagian besar pekerjaan untuk memelihara dan meningkatkan keamanan sumber terbuka, termasuk memperbaiki kerentanan yang diketahui, “dilakukan secara ad hoc, secara sukarela.”

“Sudah terlalu lama, komunitas perangkat lunak merasa nyaman dengan asumsi bahwa perangkat lunak open source umumnya aman karena transparansinya dan asumsi bahwa ‘banyak mata’ mengawasi untuk mendeteksi dan menyelesaikan masalah. Namun kenyataannya, sementara beberapa proyek memiliki banyak mata tertuju pada mereka, yang lain hanya sedikit atau tidak sama sekali,” kata Walker.

Posted By : togel hari ini hongkong