Artan şeffaflık mutlaka daha iyi güvenlik anlamına gelmez.

Son Beyaz Saray Açık Kaynak Yazılım Güvenliği Zirvesi’ne katıldıktan sonra, Google şimdi yalnızca temel açık kaynak projelerini finanse etmekle kalmayıp aynı zamanda personel için bir kamu-özel ortaklığı çağrısında bulunuyor.

Hem Google hem de Alphabet’in küresel ilişkilerden sorumlu başkanı ve baş hukuk görevlisi olan Kent Walker, yeni bir blog yazısında, arama devinin açık kaynaklı yazılım ekosistemini daha iyi güvence altına alma planlarını ortaya koydu.

Çok uzun süredir işletmeler ve hükümetler, şeffaf yapısı nedeniyle açık kaynaklı yazılımın genellikle güvenli olduğu varsayımıyla rahatladılar. Birçoğu, daha fazla göz izlemenin açık kaynak topluluğundaki sorunları tespit etmeye ve çözmeye yardımcı olabileceğine inanırken, bazı projeler de aslında çok fazla göze sahip değil.

Google, açık kaynak güvenliğinin durumu hakkında farkındalığı artırmak için çalışıyor ve şirket, çerçeveler ve yeni koruyucu araçlar geliştirmeye milyonlarca yatırım yaptı. Bununla birlikte, Log4j güvenlik açığı ve ondan önceki diğerleri, açık kaynaklı yazılımları korumak ve güvence altına almak için yeni modeller geliştirmek için ekosistem genelinde daha fazla çalışmaya ihtiyaç olduğunu göstermiştir.

Kamu-özel Ortaklığı

Kent, blog yazısında, güvenliklerini sağlamak için kaynakların önceliklendirilmesine ve tahsis edilmesine yardımcı olacak kritik açık kaynak projelerinin bir listesini belirlemek için yeni bir kamu-özel ortaklığı oluşturmayı öneriyor.

Ancak uzun vadede, gerekli güvenlik düzeyinin tahmin edilebilmesi ve uygun kaynakların sağlanabilmesi için açık kaynaklı yazılımları ve sistem riski oluşturabilecek bileşenleri tanımlamanın yeni yollarının uygulanması gerekir.

Aynı zamanda, hem kamu hem de özel sektörde güvenlik, bakım ve test temelleri oluşturulmalıdır. Bu, ulusal altyapının ve diğer önemli sistemlerin açık kaynak projelerine güvenmeye devam etmesini sağlamaya yardımcı olacaktır. Bu standartlar ayrıca Kent’e göre “sık güncellemeler, sürekli testler ve doğrulanmış bütünlük üzerinde durularak” işbirlikçi bir süreçle geliştirilmelidir. Neyse ki yazılım topluluğu, bu standartları oluşturmak için endüstri genelinde çalışan OpenSFF gibi kuruluşlarla bu çalışmaya şimdiden başladı.

Google artık açık kaynak güvenliği konusuna ağırlık verdiğine göre, Microsoft ve Apple gibi diğer teknoloji devlerinin konuyla ilgili kendi fikirlerini önermesi bekleniyor.