Biały Dom spotka się z liderami głównych technologii firm, w tym Apple, Google, Amazon, Meta, IBM i Microsoft w czwartek, aby omówić bezpieczeństwo oprogramowania open source. Sprawa stała się pilna w następstwie wyjątkowo poważna luka w Log4j, odkryty w grudniu 2021 r.
W szczycie wezmą również udział Apache Software Foundation — właściciel i opiekun biblioteki Log4j — oraz Oracle, właściciel platformy oprogramowania Java, na której działa biblioteka Log4j. GitHub i Linux Open Source Foundation będą również reprezentowane.
Szefowie firm technologicznych spotkają się z przedstawicielami różnych agencji federalnych, w tym departamentów handlu, obrony, energii i bezpieczeństwa wewnętrznego. Inne agencje to Agencja Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury, Narodowy Instytut Standardów i Technologii oraz Narodowa Fundacja Nauki, zgodnie z Cyberscoop.
W następstwie odkrycia i skutków luki Log4j w grudniu, doradca ds. bezpieczeństwa narodowego Białego Domu Jake Sullivan opisane bezpieczeństwo open source jako „kluczowy problem bezpieczeństwa narodowego”. Szczyt bezpieczeństwa open source został zwołany wkrótce po tym, jako bezpośrednia odpowiedź.
W maju 2021 r., na długo przed odkryciem luki Log4j, prezydent Biden wydał zarządzenie w sprawie poprawy cyberbezpieczeństwa kraju. Między innymi nakaz nakazywał agencjom rządu federalnego wzmacnianie swoich łańcuchów dostaw oprogramowania poprzez „zapewnianie i poświadczanie, w możliwym zakresie, integralności i pochodzenia oprogramowania open source”.
Luki w oprogramowaniu o otwartym kodzie źródłowym doprowadziły do jednych z najpoważniejszych luk bezpieczeństwa w najnowszej pamięci. Błąd Heartbleed, wykryty w 2014 roku, dotknął bibliotekę szyfrującą o otwartym kodzie źródłowym o nazwie OpenSSL, która, jak sądzono, była używana w dwa z trzech serwerów w sieci. Mimo szerokiego wykorzystania biblioteka była utrzymywana w dużej mierze przez nieopłacanych wolontariuszy — tak jak w przypadku Log4j.
Oprogramowanie typu open source, które ma kluczowe znaczenie dla funkcjonowania wysoce dochodowych firm technologicznych, może nadal mieć trudności z przyciągnięciem finansowania, o czym prawdopodobnie będziemy dyskutować na dzisiejszym szczycie. Zaledwie kilka dni temu problem ponownie wysunął się na pierwszy plan, gdy programista open-source celowo uszkodzone dwie biblioteki JavaScript, potencjalnie wpływając na tysiące projektów. Raportowanie przez Syczący komputer odkryli poprzednie posty, w których deweloper lamentował „wsparcie[ing] Fortune 500… z moją darmową pracą.”
Pismo na firmowym blogu Github W czwartek rano główny oficer bezpieczeństwa Mike Hanley opisał krajobraz, w którym otwarte oprogramowanie było szeroko stosowane, ale wciąż słabo wspierane pod względem zasobów udostępnianych programistom.
„Po pierwsze, musi istnieć wspólny wysiłek przemysłu i społeczności, aby zabezpieczyć łańcuch dostaw oprogramowania” – napisał Hanley. „Po drugie, musimy lepiej wspierać opiekunów open source, aby ułatwić im zabezpieczanie swoich projektów”.