Google en IBM willen dat er lijsten komen van kritieke open source-projecten. De techgiganten presenteerden de ideeën tijdens een overleg in het Witte Huis. Dit naar aanleiding van de recente Log4j-kwetsbaarheid.

Tijdens de bijeenkomst op het Witte Huis overlegden diverse grote techbedrijven, waaronder Apache, Google, Apple, Amazon, IBM, Microsoft, Meta, Linux en Oracle met Amerikaanse ministeries en de Cybersecurity and Infrastructure Security Agency (CISA) over de recente Log4j-kwetsbaarheid.

Naar aanleiding van deze bijeenkomst stelden Google en IBM dat het tijd wordt dat de publieke overheid en private bedrijven de handen ineen gaan slaan voor het veiliger maken van open source-software. Volgens het moederbedrijf van Google, Alphabet, is open source-software de lijm voor de online wereld. Het wordt dan ook tijd deze soort software beter te gaan onderhouden. Open source-software zou dezelfde financiering moeten krijgen als bruggen en wegen, gaf Kent Walker, President of Global Affairs van Google en Alphabet in een verklaring aan.

Lijsten van kwetsbare open source-software

Google komt daarom met voorstellen, ondersteund door IBM en Akamai, over hoe in de toekomst de veiligheid van open source-software kan worden gewaarborgd. Volgens Walker zijn lijsten nodig van kritieke open source-projecten. Deze indicaties zouden moeten worden bepaald op basis van de invloed en belangrijkheid van de projecten. Met behulp van deze lijsten zouden bedrijven makkelijker kunnen investeren in de meest belangrijke securityonderzoeken en het doorvoeren van verbeteringen.

Een ander initiatief dat kan bijdragen is volgens Google het opzetten van een organisatie die als een soort marktplaats werkt voor het onderhoud van open source-software. Deze marktplaats moet vrijwilligers aan bedrijven koppelen die ondersteuning nodig hebben voor de meest belangrijke open source-projecten. De techgigant wil hier, volgens Walker, de nodige mankracht voor leveren.

Investeren in open standaarden

IBM ziet verder ook investeren in open standaarden als een goede manier voor het veiliger maken van open source-software. Volgens Big Blue is het belangrijk dat zowel overheden als de techindustrie zelf de adoptie van open en belangrijke securitystandaarden gaat stimuleren.

Verder moeten volgens IBM publieke en private partijen gaan zorgen dat de meest kritische open source-oplossingen die aan de strengste veiligheidseisen moeten voldoen, worden geïdentificeerd. Andere maatregelen die mogelijk zijn, zijn onder meer het verder stimuleren van de vaardigheden en opleidingen in open source-security en ontwikkelaars die belangrijke kwetsbaarheden ontdekken belonen.

Concrete beslissingen werden tijdens de bijeenkomst niet genomen. Wel was het duidelijk dat zowel de Amerikaanse overheid, als de techindustrie ervan overtuigd zijn dat snelle actie nodig is.