Google pakt toeleveringsketen aan met 'open-source maintenance crew'

Google kondigde het nieuwe initiatief gisterenavond aan tijdens een Open Source Security Summit die was georganiseerd door de Amerikaanse overheid, meldt Venturebeat. "Het probleem van het beveiligen van opensourcesoftware gaat niet alleen om geld. Bij veel kritieke opensourceprojecten gaat het om het aantal mensen dat betrokken is en hoeveel tijd zij kunnen besteden aan het werk", zei Abhishek Arya, Principal Engineer Open Source Security bij Google. "Zelfs met meer financiering hebben we capaciteit nodig om dat geld aan de juiste doelen te besteden."

Google wil het team nauw laten samenwerken met een organisatie als de Open Source Security Foundation (OpenSSF) die het Google-team kan aansturen en de prioriteiten kan aangeven.

Configuratie op de korrel

Veel van het werk gaat zitten in het verbeteren van de configuratie-opties zodat er minder veiligheidsrisico's optreden. Het gaat onder meer om het afdekken van risico's via afhankelijkheden van andere software, het toevoegen van geautomatiseerde updates en betere mogelijkheden creëren voor ondersteuning door het OpenSSF Security Incident Response team in het geval van een crisis.

Het initiatief is bedoeld om tegenwicht te bieden aan het tanend vertrouwen in open source software terwijl de verwachting juist is dat het gebruik van open source de komende jaren verder toe gaat nemen. Kwaadwillenden hebben de afgelopen maanden steeds vaker kwetsbaarheden in de toeleveringsketen van softwareproducten aangegrepen om zo mee te liften met de update van betrouwbare leveranciers om binnen te dringen bij interessante potentiële slachtoffers. Een recent voorbeeld is de crisis rond Log4j/Log4Shell. Volgens techmonitor.ai stegen de supplychain-aanvallen via opensource-componenten het afgelopen jaar met 650%.