Google은 인터넷 보안에 필수적인 오픈 소스 사이버 보안 도구를 식별하고 보호하는 데 있어 미국 정부에 보다 적극적인 접근 방식을 취할 것을 요청했습니다.
목요일 백악관의 Log4j 취약점 정상 회담 이후 회사의 블로그 포스트는 국가가 그러한 프로그램을 수립하기 위해서는 민관 협력이 필요하다고 언급했습니다.
Google 및 Alphabet의 최고 법률 책임자인 Kent Walker는 다음과 같이 말했습니다. 가장 필수적인 보안 평가 및 개선을 위해.”
Google은 보다 안전한 오픈 소스 프로젝트를 위해 정부에 도움을 요청합니다.
포스트는 특히 소프트웨어가 인프라 프로젝트에 사용될 때 오픈 소스 환경을 보호하기 위해 더 많은 공공 및 민간 투자의 필요성을 강조했습니다. 민간 부문은 전반적으로 이러한 이니셔티브의 자금 조달 및 평가를 관리합니다.
Walker는 “오픈 소스 소프트웨어 코드는 누구나 무료로 사용, 수정 또는 검사할 수 있도록 공개되어 있습니다. 이것이 중요한 기반 시설과 국가 안보 시스템의 여러 측면에서 이를 통합하는 이유입니다.”라고 말했습니다. “그러나 공식적인 리소스 할당이 없고 중요한 코드의 보안을 유지하기 위한 공식적인 요구 사항이나 표준이 거의 없습니다. 사실 알려진 취약점 수정을 포함하여 오픈 소스의 보안을 유지하고 강화하기 위한 대부분의 작업은 임시로 자발적으로 수행됩니다.”
최근 몇 년간 가장 심각한 사이버 보안 취약점이 된 Log4j Java 라이브러리의 주요 결함이 발견된 후 오픈 소스 개발을 위한 재정 및 기술 리소스 부족에 대한 우려가 오랫동안 제기되어 왔습니다. Log4j 라이브러리도 주로 자원 봉사 활동에 의해 개발 및 유지 관리되었습니다.
구글, 출시 3개월 만에 Museletter 프로젝트 종료
개인 기부 또는 기업 후원과 같은 개인 소스는 대부분의 오픈 소스 프로젝트 자금 조달을 담당합니다. Google은 오픈 소스 프로젝트의 보안을 강화하기 위해 노력하는 개발자에게 재정적으로 보상하기 위해 Linux Foundation에서 운영하는 파일럿 프로젝트인 Secure Open Source(SOS) 보상 프로그램에 100만 달러를 기부했습니다.