Af Eskil Sørensen, 18/01/22
Det Hvide Hus mødes torsdag i denne uge med ledere af store teknologivirksomheder, herunder Apple, Google, Amazon, Meta, IBM og Microsoft for at diskutere sikkerheden ved open source-software.
Det skriver The Verge.
Topmødet inkluderer også Apache Software Foundation, der ejer og vedligeholder Log4j-biblioteket - og Oracle, der ejer Java-softwareplatformen, som Log4j-biblioteket kører på. Også GitHub og Linux Open Source Foundation er inviteret til mødet.
Log4j-hændelsen
Årsagen til mødet er Log4j-sårbarheden, der blev opdaget i december, og som fik national sikkerhedsrådgiver i Det Hvide Hus, Jake Sullivan, til at betegne open source-sikkerhed som en 'væsentlig national sikkerhedsbekymring'. Open source-sikkerhedstopmødet blev indkaldt kort efter som en direkte konsekvens af det.
Allerede i maj 2021 udsendte præsident Joe Biden en bekendtgørelse med henblik på at forbedre USA's cybersikkerhed. Bekendtgørelsen gav mandat til, at myndigheder i den føderale regering styrker deres forsyningskæder for så vidt angår open source-software. I det omfang det er praktisk muligt skulle integriteten og oprindelsen af open source-software sikres.
Open Source – en gratis nødvendighed for mange
Problemet er, skriver The Verge, at sårbarheder i open source-software har ført til nogle af de mest alvorlige sikkerhedsbrister i nyere tid. Heartbleed-fejlen fra 2014 påvirkede et open source-krypteringsbibliotek kaldet OpenSSL, der menes brugt på to ud af tre servere på tværs af nettet. På trods af dets store brug bliver biblioteket stort set vedligeholdt af ulønnede frivillige - som det er tilfældet med Log4j.
The Verge forudser, at økonomien i open source-software kommer til at blive diskuteret på topmødet. Dette fordi open source-software bruges vidt omkring, også af store virksomheder, men der kæmpes stadig med at tiltrække finansiering til udvikling og vedligehold.