Verschillende grote techbedrijven, waaronder Google en IBM, roepen de techindustrie op om opensourcesoftwareprojecten beter te beveiligen. Dat doen ze na een ontmoeting met de Amerikaanse regering rondom de perikelen met log4j.
Google pleit onder andere voor een openbare lijst waarop opensourceprojecten worden opgenomen die als 'kritiek' worden beschouwd, schrijft het bedrijf in een blogpost. Hoe belangrijk die projecten zijn, moet worden gebaseerd op hun 'invloed en belang voor een project'. Ook stelt Google voor dat er nieuwe manieren moeten komen om software te ontdekken die een 'systematisch risico vormen' voor grote projecten.
Het bedrijf pleit daarnaast voor nieuwe standaarden voor opensourceprojecten rondom beveiliging, onderhoud en testen. Die zouden door stichtingen zoals de OpenSSF moeten worden behandeld en ook door andere bedrijven moeten worden ondersteund. Ook wil Google dat er een onafhankelijke organisatie komt die 'als een marktplaats voor opensourceondersteuning moet dienen'. Die organisatie kan dan vrijwillige ontwikkelaars aan projecten koppelen die mogelijk hulp nodig hebben bij de ontwikkeling.
Andere techbedrijven hebben soortgelijke initiatieven voorgesteld, al zijn die niet altijd even concreet. De Apache Foundation zegt bijvoorbeeld dat samenwerking tussen bedrijven die opensourcesoftware gebruiken, altijd nodig zal blijven, maar noemt geen concrete plannen. Akamai sluit zich in een reactie aan bij de voorstellen van Google om belangrijke software te categoriseren en IBM zegt tegen ZDnet dat de overheid en industrie nauwer samen moeten werken om securityontwikkeling van opensourcesoftware te verbeteren.
De bedrijven hielden een gesprek met het Witte Huis, waar onder andere het ministerie van Defensie en de Cybersecurity and Infrastructure Security Agency, of CISA, bij waren aangesloten. De overheidsinstanties wilden een discussie over het beveiligen van opensourceprojecten en wat de bijdrage van het bedrijfsleven daarin kan zijn. Dat gebeurde met name na de log4j-kwetsbaarheid in Java, die in december vorig jaar werd ontdekt.
Het is niet voor het eerst dat techbedrijven hun steun aanbieden voor het verbeteren van maatschappelijke cybersecurityproblemen. Zo stelden Google en Microsoft vorig jaar al 25 miljard euro beschikbaar om projecten te ondersteunen, om overheden en bedrijven te helpen met beter beleid en om software in de supplychain te beveiligen.