- cross-posted to:
- cyberbezpieczenstwo
- cross-posted to:
- cyberbezpieczenstwo
Mogłoby się wydawać, że projekt tak szeroko stosowany przez Big Tech będzie miał sowity budżet na rozwój, duży zespół pracujących nad nim programistów i regularne, dogłębne audyty bezpieczeństwa. Tymczasem Log4j rozwijane jest przez kilku programistów (tak naprawdę aktywnie zaangażowane są bodaj trzy osoby), w dużej mierze na zasadzie wolontariatu.
(…)
Być może czas więc na regularne audyty bezpieczeństwa kluczowych projektów na wolnych licencjach, i publiczne finansowanie ich rozwoju i utrzymania.
Wolne oprogramowanie jest w końcu ważnym dobrem wspólnym, doceniają to przecież (sądząc po liście organizacji dotkniętych Log4shell) największe nawet firmy z Doliny Krzemowej. Środki mogłyby więc pochodzić ze skutecznego ich opodatkowania.
Oczywiście nie chodzi o to, by każdy projekt miał milionowy budżet i dziesiątki osób w zespole – istnieją projekty dobrze rozwinięte, jak choćby Log4j, które nie wymagają już dużo gwałtownych zmian. Potrzebują jednak, aby ktoś od czasu do czasu przeprowadził systematyczny audyt bezpieczeństwa.
(tak, bezczelna autopromocja; tytuł od redakcji 🤷♀️ )
Ciekawostka, Biały Dom jakby w tym kierunku trochę:
https://www.bloomberg.com/news/articles/2021-12-23/white-house-extends-invitation-to-improve-open-source-securityIn the letter, [National Security Advisor Jake] Sullivan wrote that open-source software has accelerated the pace of innovation but pointed out that the fact that it is broadly used and maintained by volunteers is a “combination that is a key national security concern, as we are experiencing with the Log4j vulnerability,” the official said.
To już tak dawno od heartbleed?
oslo, niech oko ogarnie opengraph :P
No proszę Cię. 🤦♀️