طبق گفتههای این شرکت، منبعباز بودن بودن ممکن است شفافیت را منجر شود اما لزومآً بهمعنای امنیت بهتر نیست.
پس از شرکت در اجلاس اخیر امنیت نرمافزار کاخ سفید، گوگل اکنون خواستار مشارکت عمومی-خصوصی برای نهتنها تأمین مالی، بلکه برای کارکنان پروژههای منبع باز است. کنت واکر، رئیس امور جهانی و مدیر ارشد حقوقی گوگل و شرکت آلفابت، در یک بلاگپست جدید، برنامههای این موتور جستجو را برای ایمنسازی بهتر اکوسیستم نرمافزارهای منبعباز ارائه کرد.
برای مدت طولانی، کسبوکارها و دولتها با این فرض که نرمافزار متنباز به دلیل ماهیت شفاف آن، عموماً ایمن هستند، راحتی خاصی بهدست آوردهاند. درحالی که بسیاری بر این باورند که تماشای چشمهای بیشتر میتواند به شناسایی و حل مشکلات در جامعه منبعباز کمک کند، برخی از پروژهها درحال خاک خوردن هستند و به هیچ وجه مورد توجه قرار نمیگیرند.
به اعتبار خود، گوگل برای افزایش آگاهی از وضعیت امنیت پروژههای منبعباز، اقدامات زیادی انجام داده و میلیونها دلار در توسعه چهارچوبها و ابزارهای حفاظتی جدید سرمایهگذاری کرده است. با این حال، آسیبپذیری پروژههایی مثل Log4j و موارد دیگر قبل از آن نشان دادهاند که برای توسعه مدلهای جدید و حفظ و ایمن کردن نرمافزار منبعباز، به فعالیت بیشتری در سرتاسر اکوسیستم نیاز داریم.
کنت در این بلاگپست ایجاد یک مشارکت عمومی-خصوصی جدید را برای شناسایی لیستی از پروژههای منبعباز حیاتی برای کمک به اولویتبندی و تخصیص منابع باری تضمین امنیت آنها پیشنهاد میکند. اگرچه در دراز مدت، راههای جدیدی برای شناسایی نرمافزارهای منبعباز و اجزایی که ممکن است خطر سیستم را ایجاد کنند، باید پیادهسازی شوند تا بتوان سطح امنیت مورد نیاز را پیشبینی کرد و منابع مناسب را فراهم کرد.
در عین حال، خطوط پایه امنیتی، نگهداری و آزمایش باید در هر دو بخش دولتی و خصوصی ایجاد شود. این کمک میکند تا اطمینان حاصل شود که زیرساختهای ملی و سایر سیستمهای مهم میتوانند همچنان بر پروژههای منبعباز تکیه کنند. این استانداردها همچنین باید از طریق یک فرآیند مشترک با توجه به تأکید روی بهروزرسانیهای مکرر، آزمایش مداوم و یکپارچگی تأییدشده ایجاد شوند. خوشبختانه، جامعه نرمافزار قبلاً این کار را با سازمانهایی مانند OpenSFF آغاز کرده است که در سراسر صنعت برای ایجاد این استانداردها کار میکنند. اکنون که گوگل به موضوع امنیت منبعباز توجه کرده، انتظار داشته باشید که غولهای فناوری دیگر مانند مایکروسافت و اپل ایدههای خود را در مورد این موضوع ارائه دهند.