กูเกิลเสนอตั้งศูนย์กลางสปอนเซอร์โครงการโอเพนซอร์ส เฟ้นหาโครงการสำคัญ
กูเกิลเสนอตั้งศูนย์กลางสปอนเซอร์โครงการโอเพนซอร์ส เฟ้นหาโครงการสำคัญ
Kent Walker จากกูเกิลเขียนบล็อคเล่าถึงข้อเสนอของกูเกิลหลังเข้าร่วมประชุมความปลอดภัยของซอฟต์แวร์โอเพนซอร์สกับทำเนียบขาว (White House Open Source Software Security Summit) โดยระบุถึงสื่งที่ต้องทำเพื่อให้โลกโอเพนซอร์สปลอดภัยขึ้น 3 ด้าน ได้แก่ ระบุโครงการสำคัญ Walker ระบุว่าควรมีแนวทางใหม่ในการค้นหาซอฟต์แวร์ที่มีความสำคัญและสร้างความเสี่ยงต่อโครงสร้างโดยรวมได้มาก เพื่อให้โครงการเหล่านั้นได้รับทรัพยากรอย่างเหมาะสม วางแนวทางการรักษาความปลอดภัย อุตสาหกรรมโดยรวมควรมีแนวทางร่วมกันว่าจะรักษาความปลอดภัยโครงการต่างๆ อย่างไร ทั้งการบำรุงรักษาโครงการ, การอัพเดตโค้ด, การทดสอบ, และการยืนยันความถูกต้องของโค้ด ที่ผ่านมาโครงการโอเพนซอร์สเช่น OpenSSF ก็มีแนวทางเหล่านี้อยู่แล้ว เพิ่มการสนับสนุน ปัญหาใหญ่คือองค์กรจำนวนมากไม่รู้ตัวว่าใช้โครงการโอเพนซอร์สเป็นโครงสร้างอยู่มากน้อยแค่ไหน กูเกิลเสนอให้สร้างตลาดกลาง (marketplace) เพื่อให้เพื่อองค์กรต่างๆ ส่งทรัพยากรเข้าไปช่วยเหลือโครงการสำคัญๆ รวมถึงการส่งอาสาสมัครเข้าไปช่วยพัฒนา ช่องโหว่ที่กระทบโลกไอทีในเดือนที่ผ่านมาคงเป็นช่องโหว่ Log4j ที่กระทบเป็นวงกว้าง แต่ก่


Kent Walker จากกูเกิลเขียนบล็อคเล่าถึงข้อเสนอของกูเกิลหลังเข้าร่วมประชุมความปลอดภัยของซอฟต์แวร์โอเพนซอร์สกับทำเนียบขาว (White House Open Source Software Security Summit) โดยระบุถึงสื่งที่ต้องทำเพื่อให้โลกโอเพนซอร์สปลอดภัยขึ้น 3 ด้าน ได้แก่

  • ระบุโครงการสำคัญ Walker ระบุว่าควรมีแนวทางใหม่ในการค้นหาซอฟต์แวร์ที่มีความสำคัญและสร้างความเสี่ยงต่อโครงสร้างโดยรวมได้มาก เพื่อให้โครงการเหล่านั้นได้รับทรัพยากรอย่างเหมาะสม
  • วางแนวทางการรักษาความปลอดภัย อุตสาหกรรมโดยรวมควรมีแนวทางร่วมกันว่าจะรักษาความปลอดภัยโครงการต่างๆ อย่างไร ทั้งการบำรุงรักษาโครงการ, การอัพเดตโค้ด, การทดสอบ, และการยืนยันความถูกต้องของโค้ด ที่ผ่านมาโครงการโอเพนซอร์สเช่น OpenSSF ก็มีแนวทางเหล่านี้อยู่แล้ว
  • เพิ่มการสนับสนุน ปัญหาใหญ่คือองค์กรจำนวนมากไม่รู้ตัวว่าใช้โครงการโอเพนซอร์สเป็นโครงสร้างอยู่มากน้อยแค่ไหน กูเกิลเสนอให้สร้างตลาดกลาง (marketplace) เพื่อให้เพื่อองค์กรต่างๆ ส่งทรัพยากรเข้าไปช่วยเหลือโครงการสำคัญๆ รวมถึงการส่งอาสาสมัครเข้าไปช่วยพัฒนา

ช่องโหว่ที่กระทบโลกไอทีในเดือนที่ผ่านมาคงเป็นช่องโหว่ Log4j ที่กระทบเป็นวงกว้าง แต่ก่อนหน้านี้เคยมีช่องโหว่ Heartbleed ที่กระทบในระดับเดียวกันมาก่อนแล้ว และผลที่ได้คือกองทุน Core Infrastructure Initiative ที่เข้าไปสนับสนุนโครงการ OpenSSL แต่การตั้งกองทุนใหม่ไปเรื่อยๆ หลังพบช่องโหว่และพบว่าโครงการที่ไม่ค่อยมีใครเหลียวแลนั้นสำคัญแค่ไหนคงไม่ใช่เรื่องที่ดีนัก การหาโครงการสำคัญก่อนเจอช่องโหว่ร้ายแรงน่าจะเป็นทางแก้ในระยะยาวที่ดีกว่า

ที่มา - Google

No Description



ปฏิกิริยาของคุณ?