Log4j 이후, 오픈 소스 소프트웨어는 이제 국가 안보 문제입니다.

수년 동안 무료 오픈 소스 소프트웨어 개발자는 자신의 프로젝트에 더 나은 재정 지원과 더 많은 감독이 필요하다는 것을 듣는 모든 사람에게 말했습니다 . 이제 오픈 소스 코드와 관련된 여러 비참한 사건이 있은 후 연방 정부와 실리콘 밸리가 마침내 귀를 기울일 수 있습니다.

목요일 백악관에서 열린 회의에서 기술 부문의 가장 큰 기업의 임원들이 행정부 관리들과 만나 오픈 소스 커뮤니티에서 더 나은 보안의 필요성을 논의 했습니다 . 참석자 목록에는 Google, Facebook, Microsoft, Amazon, Oracle 및 Apple과 같은 유명 인사가 포함되었습니다.

독점 소프트웨어와 달리 o 펜 소스 소프트웨어  는 무료이며 공개적으로 검사할 수 있으며 누구나 사용하거나 수정할 수 있습니다. 오픈 소스 도구가 얼마나 유용한지 때문에 대기업에서는 종종 개발 목적으로 사용합니다. 그러나 불행하게도 오픈 소스 프로젝트는 보안을 유지하기 위해 감독과 자금 지원이 필요하지만 항상 그런 것은 아닙니다. 수년 동안 오픈 소스 개발자는 자신의 소프트웨어가 Big Tech 및 기타 기관 행위자의 더 나은 지원이 필요하다고 불평했습니다. 이 문제는 마침내 일부 주류의 주목을 받고 있습니다.

백악관이 지금 회의를 소집한 이유를 이해하는 것은 어렵지 않습니다. 불과 한 달 전쯤에 인기 있는 오픈 소스 Apache 로깅 라이브러리인 log4j에서 치명적인 버그 가 발견되었습니다. 거의 모든 사람이 사용하는 문제가 있는 프로그램은 기술 산업 전반에 공포를 불러일으켰습니다. 기업이 성공을 위해 라이브러리에 의존하는 시스템과 제품을 패치하기 위해 분주하게 움직였기 때문입니다. (Apache Software Foundation의 관계자도 목요일 회의에 참석했습니다.)

Log4j는 최근에 발생한 유일한 오픈 소스 재앙이 아닙니다. 바로 지난 주에 널리 사용되는 두 가지 소프트웨어 도구의 제작자가 여러 가지 기이한 소프트웨어 업데이트를 통해 설명할 수 없을 정도로 비활성화 하기로 결정했습니다 . 인기 있는 JavaScript 라이브러리인 Faker 와 Colors 의 뒤를 이은 Marak Squires는 이상하게도 프로그램을 급습하고 성공을 위해 의존하는 수천 개의 다른 소프트웨어 프로젝트를 중단했습니다.

간단히 말해서: 분명히 개선의 여지가 있으며, 고맙게도 최근 백악관 회의 참석자 들은 이에 상당히 순응하는 것 같습니다 . 회의에서 백악관 국가안보보좌관 Jake Sullivan은 분명히 오픈 소스 소프트웨어를 "핵심 국가 안보 문제"라고 불렀습니다. 마찬가지로 Google의 글로벌 업무 사장이자 최고 법무 책임자인 Kent Walker 는 목요일에 회사 블로그에 공개 소스 커뮤니티에 대한 더 나은 지원을 원한다고 주장 하는 성명을 발표했습니다 .

Walker는 "너무 오랫동안 소프트웨어 커뮤니티는 오픈 소스 소프트웨어가 투명성으로 인해 일반적으로 안전하다는 가정과 '많은 눈'이 문제를 감지하고 해결하기 위해 주시하고 있다는 가정에서 위안을 얻었습니다."라고 말했습니다. "그러나 실제로 일부 프로젝트에는 많은 관심이 있지만 다른 프로젝트에는 거의 또는 전혀 관심이 없습니다."

그의 성명서에서 Walker는 추가로 오픈 소스 프로젝트에 대한 공공 및 민간 지원 증가, 보안 및 테스트 기준선 설정, 많이 사용되는 "중요한" 프로젝트 식별을 위한 루브릭 개발을 제안합니다. 아마도 log4j와 같은 것).

정부와 Big Tech의 다른 구성원이 더 나은 오픈 소스 보안을 위해 염두에 두고 있는 것이 정확히 무엇인지는 현시점에서 완전히 명확하지 않지만, 그들이 그것에 대해 이야기하고 있다는 사실은 좋은 징조인 것 같습니다.