Tehisintellekt
Selle aasta alguses mõistis Microsofti arendaja, et keegi on seda teinud sisestas tagumise ukse avatud lähtekoodiga utiliidi XZ Utils koodis, mida kasutatakse praktiliselt kõigis Linuxi operatsioonisüsteemides.
Operatsioon oli alanud kaks aastat varem, kui keegi, isik, hüüdnime JiaT75, hakkas panustama GitHubi hoidlasse XZ Utils. Üks küberjulgeolekuekspert nimetas seda rünnakut "õudusunenäo stsenaariumiks" ja "kõige paremini teostatud tarneahela rünnakuks, mida oleme näinud".
Rünnak, mis järgnes teistele tuntud küberjulgeolekuintsidentidele, mis hõlmasid avatud lähtekoodiga tarkvara nagu Heartbleed, Shellshock ja Log4j, oli veel üks terav meeldetuletus, et avatud lähtekoodiga tarkvara võib selle ulatust arvestades kujutada endast olulisi turvariske.
Sequoia Capitali partner Bogomil Balkansky, USA küberturvalisuse ja infrastruktuuri turbeagentuuri avatud lähtekoodiga turbesektsiooni juht Aeva Black ja Tidelifti kaasasutaja Luis Villa arutasid ümarlauas avatud lähtekoodiga tarkvara kaitsmise väljakutseid.
"Mulle meeldib öelda, et avatud lähtekoodiga pole tasuta nagu pitsa. Ta on kutsikana vaba. Kui sa selle koju tood ja ei toida, sööb see su mööbli ja jalanõud ära,” rääkis Must.
Balkansky nimetas avatud lähtekoodiga tarkvara "tarkvara elujõuks", muutes selle "põhimõtteliseks ja kõigega integreerituks". Balkansky lisas, et probleem seisneb selles, et "avatud lähtekoodiga ärimudel on endiselt pooleli."
Kes peaks siis sellele tähelepanu pöörama ja selle kindlustamise eest maksma?
Villa ja tema meeskond Tideliftis pakuvad välja mudeli, milles ettevõte maksab avatud lähtekoodiga hooldajatele oma koodi eest hoolitsemise eest ja partneritele haavatavuste parandamise eest.
CISA, must selgitas, nüüd ta sekkub algatuste käivitamine, et öelda ettevõtetele, millised on parimad: ja halvim turvatavad avatud lähtekoodiga tarkvara juurutamisel. "Oleme siin, et osaleda avatud lähtekoodiga kogukonna liikmena ja teha nendega koostööd," ütles Black, kes usub, et avatud lähtekoodiga tarkvara on avalik hüve.
Seoses sellega, kuidas edasi liikuda, ütles Balkansky, et "avatud lähtekoodiga turvalisuse lahendus peab vähemalt mingil määral olema ka avatud lähtekoodiga" ja hoiatas, et "puuduvad hõbekuulid".
Villa ütles, et vaja on mitut lähenemist ja põhjalikku kaitset, mis tähendab, et avatud lähtekoodiga ökosüsteemi kaitsmiseks on vaja mitut turvakihti.
Must lisas, et tarkvara loojad peavad teadma, mis avatud lähtekoodiga tarkvara nende toodetes on. "Meil on vaja paremat osalemist, et kõik saaksid seda teha väiksema pingutusega ja väiksema koormusega üksikutele vabatahtlikele ülalpidajatele ja mittetulundusühingutele."
