345
มุมมอง
มุมมอง
Kent Walker จากกูเกิลเขียนบล็อคเล่าถึงข้อเสนอของกูเกิลหลังเข้าร่วมประชุมความปลอดภัยของซอฟต์แวร์โอเพนซอร์สกับทำเนียบขาว (White House Open Source Software Security Summit) โดยระบุถึงสื่งที่ต้องทำเพื่อให้โลกโอเพนซอร์สปลอดภัยขึ้น 3 ด้าน ได้แก่ ระบุโครงการสำคัญ Walker ระบุว่าควรมีแนวทางใหม่ในการค้นหาซอฟต์แวร์ที่มีความสำคัญและสร้างความเสี่ยงต่อโครงสร้างโดยรวมได้มาก เพื่อให้โครงการเหล่านั้นได้รับทรัพยากรอย่างเหมาะสม วางแนวทางการรักษาความปลอดภัย อุตสาหกรรมโดยรวมควรมีแนวทางร่วมกันว่าจะรักษาความปลอดภัยโครงการต่างๆ อย่างไร ทั้งการบำรุงรักษาโครงการ, การอัพเดตโค้ด, การทดสอบ, และการยืนยันความถูกต้องของโค้ด ที่ผ่านมาโครงการโอเพนซอร์สเช่น OpenSSF ก็มีแนวทางเหล่านี้อยู่แล้ว เพิ่มการสนับสนุน ปัญหาใหญ่คือองค์กรจำนวนมากไม่รู้ตัวว่าใช้โครงการโอเพนซอร์สเป็นโครงสร้างอยู่มากน้อยแค่ไหน กูเกิลเสนอให้สร้างตลาดกลาง (marketplace) เพื่อให้เพื่อองค์กรต่างๆ ส่งทรัพยากรเข้าไปช่วยเหลือโครงการสำคัญๆ รวมถึงการส่งอาสาสมัครเข้าไปช่วยพัฒนา ช่องโหว่ที่กระทบโลกไอทีในเดือนที่ผ่านมาคงเป็นช่องโหว่ Log4j ที่กระทบเป็นวงกว้าง แต่ก่
Kent Walker จากกูเกิลเขียนบล็อคเล่าถึงข้อเสนอของกูเกิลหลังเข้าร่วมประชุมความปลอดภัยของซอฟต์แวร์โอเพนซอร์สกับทำเนียบขาว (White House Open Source Software Security Summit) โดยระบุถึงสื่งที่ต้องทำเพื่อให้โลกโอเพนซอร์สปลอดภัยขึ้น 3 ด้าน ได้แก่
- ระบุโครงการสำคัญ Walker ระบุว่าควรมีแนวทางใหม่ในการค้นหาซอฟต์แวร์ที่มีความสำคัญและสร้างความเสี่ยงต่อโครงสร้างโดยรวมได้มาก เพื่อให้โครงการเหล่านั้นได้รับทรัพยากรอย่างเหมาะสม
- วางแนวทางการรักษาความปลอดภัย อุตสาหกรรมโดยรวมควรมีแนวทางร่วมกันว่าจะรักษาความปลอดภัยโครงการต่างๆ อย่างไร ทั้งการบำรุงรักษาโครงการ, การอัพเดตโค้ด, การทดสอบ, และการยืนยันความถูกต้องของโค้ด ที่ผ่านมาโครงการโอเพนซอร์สเช่น OpenSSF ก็มีแนวทางเหล่านี้อยู่แล้ว
- เพิ่มการสนับสนุน ปัญหาใหญ่คือองค์กรจำนวนมากไม่รู้ตัวว่าใช้โครงการโอเพนซอร์สเป็นโครงสร้างอยู่มากน้อยแค่ไหน กูเกิลเสนอให้สร้างตลาดกลาง (marketplace) เพื่อให้เพื่อองค์กรต่างๆ ส่งทรัพยากรเข้าไปช่วยเหลือโครงการสำคัญๆ รวมถึงการส่งอาสาสมัครเข้าไปช่วยพัฒนา
ช่องโหว่ที่กระทบโลกไอทีในเดือนที่ผ่านมาคงเป็นช่องโหว่ Log4j ที่กระทบเป็นวงกว้าง แต่ก่อนหน้านี้เคยมีช่องโหว่ Heartbleed ที่กระทบในระดับเดียวกันมาก่อนแล้ว และผลที่ได้คือกองทุน Core Infrastructure Initiative ที่เข้าไปสนับสนุนโครงการ OpenSSL แต่การตั้งกองทุนใหม่ไปเรื่อยๆ หลังพบช่องโหว่และพบว่าโครงการที่ไม่ค่อยมีใครเหลียวแลนั้นสำคัญแค่ไหนคงไม่ใช่เรื่องที่ดีนัก การหาโครงการสำคัญก่อนเจอช่องโหว่ร้ายแรงน่าจะเป็นทางแก้ในระยะยาวที่ดีกว่า
ที่มา - Google
Topics: