- cross-posted to:
- cyberbezpieczenstwo
- cross-posted to:
- cyberbezpieczenstwo
Mogłoby się wydawać, że projekt tak szeroko stosowany przez Big Tech będzie miał sowity budżet na rozwój, duży zespół pracujących nad nim programistów i regularne, dogłębne audyty bezpieczeństwa. Tymczasem Log4j rozwijane jest przez kilku programistów (tak naprawdę aktywnie zaangażowane są bodaj trzy osoby), w dużej mierze na zasadzie wolontariatu.
(…)
Być może czas więc na regularne audyty bezpieczeństwa kluczowych projektów na wolnych licencjach, i publiczne finansowanie ich rozwoju i utrzymania.
Wolne oprogramowanie jest w końcu ważnym dobrem wspólnym, doceniają to przecież (sądząc po liście organizacji dotkniętych Log4shell) największe nawet firmy z Doliny Krzemowej. Środki mogłyby więc pochodzić ze skutecznego ich opodatkowania.
Oczywiście nie chodzi o to, by każdy projekt miał milionowy budżet i dziesiątki osób w zespole – istnieją projekty dobrze rozwinięte, jak choćby Log4j, które nie wymagają już dużo gwałtownych zmian. Potrzebują jednak, aby ktoś od czasu do czasu przeprowadził systematyczny audyt bezpieczeństwa.
(tak, bezczelna autopromocja; tytuł od redakcji 🤷♀️ )
Ciekawostka, Biały Dom jakby w tym kierunku trochę:
https://www.bloomberg.com/news/articles/2021-12-23/white-house-extends-invitation-to-improve-open-source-security