Después de Log4j, el software de código abierto se ha convertido en un problema de seguridad nacional

Durante años, los desarrolladores de software gratuito de código abierto Él estaba diciendo Cualquiera que escuche que sus proyectos necesitan mejor ayuda financiera y más supervisión. Ahora, después de una serie de incidentes desastrosos relacionados con el código fuente abierto, quizás el gobierno federal y Silicon Valley finalmente estén escuchando.

a Reunión En la Casa Blanca el jueves, ejecutivos de algunas de las empresas más grandes del sector tecnológico se reunieron con administradores para discutir la necesidad de mejorar la seguridad en la comunidad de código abierto. La lista de asistentes incluía grandes nombres como Google, Facebook, Microsoft, Amazon, Oracle y Apple, entre otros.

software de código abierto Se diferencia del software propietario en que es gratuito, públicamente inspeccionable y cualquiera puede utilizarlo o modificarlo. Debido a lo útiles que son las herramientas de código abierto, las principales empresas suelen utilizarlas con fines de desarrollo. Pero desafortunadamente, los proyectos de código abierto necesitan supervisión y financiamiento para mantenerse seguros, y no siempre lo obtienen. Durante años, los desarrolladores de código abierto se han quejado de que su software necesita un mejor apoyo de Big Tech y otros actores institucionales, un problema que finalmente ha ganado cierta atención general.

No es difícil ver por qué la Casa Blanca está celebrando su reunión ahora. Hace más o menos un mes, insecto malicioso Se encuentra en la popular biblioteca de registro Apache de código abierto log4j. El programa problemático que está usando casi todos, provocó un pánico generalizado en la industria de la tecnología, ya que las empresas se apresuraron a arreglar los sistemas y productos basados ​​en bibliotecas para que tuvieran éxito. (elA la reunión del jueves también asistieron funcionarios de Apache Software).

Log4j no es el único desastre de código abierto que ha ocurrido recientemente. apenas la semana pasada, Creador de dos herramientas de software ampliamente utilizadas decidido a Por alguna razón incomprensible Desactívelo a través de una serie de extrañas actualizaciones de software. Mark Squires, el hombre detrás de las populares bibliotecas de JavaScript recordar Y ColoresExplotó el software, extrañamente, y logró eliminar miles de otros proyectos de software en los que confiaba para el éxito.

En resumen: claramente hay margen de mejora, afortunadamente para los presentes en la última reunión de la Casa Blanca. parecer Hasta cierto punto susceptible de ello. En la reunión, el asesor de seguridad nacional de la Casa Blanca, Jake Sullivan, aparentemente describió el software de código abierto como un «problema clave de seguridad nacional». Asimismo, el Director de Asuntos Globales y Director Legal de Google caminante kent Publicar una declaración al blog de la compañía el jueves argumentando que quiere ver un mejor apoyo para la comunidad de código abierto.

“Durante demasiado tiempo, la comunidad de software se ha sentido cómoda con la suposición de queEl software fuente generalmente es seguro debido a su transparencia y a la suposición de que «muchos ojos «Estaban observando para encontrar y solucionar problemas», dijo Walker. «Pero en realidad, mientras que algunos proyectos tienen muchos ojos puestos en ellos, otros tienen poco o nada».

En su declaración, Walker sugiere además aumentar el apoyo público y privado para los proyectos de código abierto, establecer líneas de base de prueba y seguridad, y desarrollar un modelo de evaluación para identificar proyectos «significativos», del tipo que se usa mucho (digamos, tal vez algo como log4j ).

Lo que exactamente el gobierno y otros miembros de las grandes empresas tecnológicas tienen en mente para mejorar la seguridad del código abierto no está del todo claro en este momento. Pero El hecho de que estén hablando de eso parece una buena señal.