Google anuncia equipe de manutenção de código aberto

Da Redação
15/05/2022

O Google anunciou durante o Open Source Security Summit da Casa Branca, na última quinta-feira, 12, que vai criar uma equipe para apoiar a manutenção e a segurança de software de código aberto junto com a Open Source Security Foundation ( OpenSSF ), Linux Foundation e outros líderes do setor. Essa equipe é formada por desenvolvedores e trabalhará para garantir a segurança de projetos de código aberto upstream, desde o ajuste de configurações até a implantação de atualizações.

Veja isso
Google lança banco de dados para vulnerabilidades de código aberto
Check Point compra startup que faz segurança de código

Há pouco mais de um ano, o Google publicou o a iniciativa “Know, Prevent, Fix”, que segundo a empresa estabeleceu um workflow para orientar a indústria de software na gestão de vulnerabilidades em software de código aberto: “Na época, havia um interesse crescente no tema e a esperança era gerar impulso na causa de avançar e melhorar a segurança da cadeia de suprimentos de software”, disse Abhishek Arya, principal engenheiro principal da equipe de segurança de código aberto do Google.

A nova iniciativa do Google ocorre após as preocupações com vulnerabilidades de código aberto terem aumentado, especialmente após as violações do Log4j – os ataques à cadeia de suprimentos em geral e a componentes de software de código aberto em particular cresceram 650% em 2021.

Arya informou que o Google apoiou a inovação, a segurança, a colaboração e a sustentabilidade do código aberto por meio de programas e serviços, também doando US$ 15 milhões para o código aberto no ano passado: “Isso inclui US$ 7,5 milhões para esforços de segurança direcionados em áreas como segurança da cadeia de suprimentos, fuzzing, segurança do kernel e segurança da infraestrutura crítica. Por exemplo, US$ 2,5 milhões do financiamento de segurança foram para o projeto Alpha-Omega , que fez sua primeira doação à fundação Node.js para fortalecer sua equipe de segurança e apoiar a correção de vulnerabilidades”.

Outros investimentos em segurança, segundo o engenheiro, incluem US$ 1 milhão para o SOS Rewards e US$ 300.000 para o Internet Security Research Group para melhorar a segurança da memória incorporando Rust ao kernel do Linux. O financiamento restante suporta auditorias de segurança, assinatura de pacotes, fuzzing, compilações reproduzíveis, segurança de infraestrutura e pesquisa de segurança.

Além dos investimentos financeiros, diz ele, os funcionários do Google contribuem com suas horas, esforço e código para dezenas de milhares de repositórios de código aberto todos os anos: “Um problema frequentemente citado pelos mantenedores de código aberto é o tempo limitado. Como componentes críticos de código aberto com manutenção insuficiente são um risco de segurança, o Google está iniciando uma nova equipe de manutenção de código aberto, uma equipe dedicada de engenheiros do Google que trabalhará em estreita colaboração com mantenedores upstream para melhorar a segurança de projetos críticos de código aberto. Esperamos que outras empresas que dependem de código aberto invistam em esforços semelhantes para ajudar a acelerar as melhorias de segurança no ecossistema de código aberto”.

Compartilhar: