Google pede nova ação do governo para proteger projetos de software de código aberto

As declarações vieram após uma cúpula de tecnologia na Casa Branca

Após uma cúpula sobre segurança de código aberto realizada na Casa Branca na quinta-feira, o Google pediu um maior envolvimento do governo na identificação e proteção de projetos críticos de software de código aberto.

Em uma postagem no blog publicada logo após a cúpula, Kent Walker, presidente de assuntos globais e diretor jurídico do Google e da Alphabet, disse que a colaboração entre o governo e o setor privado era necessária para financiamento e gerenciamento de código aberto.

“Precisamos de uma parceria público-privada para identificar uma lista de projetos críticos de código aberto – com criticidade determinada com base na influência e importância de um projeto – para ajudar a priorizar e alocar recursos para as avaliações e melhorias de segurança mais essenciais”, escreveu Walker.

A postagem do blog também pediu um aumento no investimento público e privado para manter o ecossistema de código aberto seguro, principalmente quando o software é usado em projetos de infraestrutura. Na maioria das vezes, o financiamento e a revisão desses projetos são realizados pelo setor privado.

A Casa Branca não havia respondido a um pedido de comentário até o momento da publicação.

“O código de software de código aberto está disponível ao público, gratuito para qualquer pessoa usar, modificar ou inspecionar… É por isso que muitos aspectos da infraestrutura crítica e dos sistemas de segurança nacional o incorporam”, escreveu Walker. “Mas não há alocação oficial de recursos e poucos requisitos ou padrões formais para manter a segurança desse código crítico. Na verdade, a maior parte do trabalho para manter e aprimorar a segurança do código aberto, incluindo a correção de vulnerabilidades conhecidas, é feito de forma voluntária e ad hoc.”

A escassez de financiamento e recursos para o desenvolvimento de código aberto tem sido levantada como uma preocupação de segurança e ressurgiu como uma questão-chave após a descoberta de um sério bug na biblioteca Java Log4j, que rapidamente se tornou a maior vulnerabilidade de segurança cibernética nos últimos anos . A biblioteca Log4j também foi desenvolvida e mantida em grande parte por mão de obra não remunerada.

Quando projetos de código aberto recebem financiamento, geralmente vem de fontes privadas, como doações individuais ou patrocínio de empresas de tecnologia. O Google recentemente contribuiu com US$ 1 milhão para o programa de recompensas Secure Open Source (SOS), um esquema piloto executado pela Linux Foundation para compensar financeiramente os desenvolvedores que trabalham para melhorar a segurança de projetos de código aberto.

Em um comunicado, Eric Brewer, vice-presidente de infraestrutura do Google, disse:

“Embora tenha sido chamada de cúpula, a reunião de hoje foi efetivamente uma sessão de trabalho para desenvolver soluções concretas e pragmáticas para melhorar a segurança de código aberto. Os participantes concordaram amplamente com as abordagens para identificar e garantir projetos críticos e, em particular, subscrever esses esforços com investimento real. É especialmente crucial que aqueles que mantêm projetos de código aberto recebam os recursos e o suporte necessários para garantir que sejam bem mantidos e capazes de corrigir vulnerabilidades rapidamente. Aplaudimos a Casa Branca por sua liderança nesta importante questão”.

Atualização 14 de janeiro, 8h50 ET: Este artigo foi atualizado para adicionar uma declaração de Eric Brewer.

#tecnologia #tecnologia #tecnologia #política #tecnologia #cíbersegurança

John Doe

Curioso e apaixonado por tecnologia.

Deixe um comentário

O seu endereço de e-mail não será publicado.