หลังจาก Log4j ซอฟต์แวร์โอเพ่นซอร์สกลายเป็นปัญหาด้านความปลอดภัยระดับประเทศ

Jan 14 2022

หลายปีที่ผ่านมา นักพัฒนาซอฟต์แวร์โอเพ่นซอร์สฟรีได้บอกใครก็ตามที่จะรับฟังว่าโครงการของพวกเขาต้องการความช่วยเหลือทางการเงินที่ดีขึ้นและการกำกับดูแลที่มากขึ้น ตอนนี้ หลังจากเกิดเหตุการณ์หายนะมากมายที่เกี่ยวข้องกับโอเพนซอร์สโค้ด ในที่สุดรัฐบาลกลางและซิลิคอนแวลลีย์ก็อาจรอฟังอยู่

การประชุมที่ทำเนียบขาวเมื่อวันพฤหัสบดี ผู้บริหารจากบริษัทที่ใหญ่ที่สุดของภาคเทคโนโลยีบางแห่งได้พบกับเจ้าหน้าที่ฝ่ายบริหารเพื่อหารือเกี่ยวกับความจำเป็นในการรักษาความปลอดภัยที่ดีขึ้นในชุมชนโอเพ่นซอร์ส รายชื่อผู้เข้าร่วมประชุมรวมถึงชื่อใหญ่เช่น Google, Facebook, Microsoft, Amazon, Oracle และ Apple เป็นต้น

ต่างจากซอฟต์แวร์ที่เป็นกรรมสิทธิ์ ซอฟต์แวร์ที่ ใช้ แหล่ง ปากกา นั้นฟรี ตรวจสอบได้แบบสาธารณะ และทุกคนสามารถใช้หรือแก้ไขได้ เนื่องจากเครื่องมือโอเพนซอร์ซมีประโยชน์อย่างไร บริษัทใหญ่ๆ มักจะใช้มันเพื่อการ พัฒนา แต่ น่าเสียดายที่โครงการโอเพนซอร์ซต้องการการกำกับดูแลและเงินทุนเพื่อให้มีความปลอดภัย—และไม่ได้เสมอไป หลายปีที่ผ่านมา นักพัฒนาซอฟต์แวร์โอเพ่นซอร์สบ่นว่าซอฟต์แวร์ของพวกเขาต้องการการสนับสนุนที่ดีขึ้นจาก Big Tech และหน่วยงานอื่นๆ ซึ่งเป็นปัญหาที่ได้รับความสนใจจากกระแสหลักในที่สุด

ไม่ใช่เรื่องยากที่จะเห็นว่าทำไมทำเนียบขาวได้เรียกประชุมในขณะนี้ เมื่อประมาณหนึ่งเดือนก่อน พบจุดบกพร่องที่เป็นอันตราย ในล็อก4j ไลบรารีการบันทึกของ Apache แบบโอเพนซอร์สที่ได้รับความนิยม โปรแกรมที่มีปัญหา ซึ่งแทบทุกคนใช้ ทำให้เกิดความตื่นตระหนกอย่างกว้างขวางทั่วทั้งอุตสาหกรรมเทคโนโลยี เนื่องจากบริษัทต่าง ๆ ต่างพยายามแก้ไขระบบและผลิตภัณฑ์ที่อาศัยไลบรารีเพื่อความสำเร็จ (เจ้าหน้าที่จาก Apache Software Foundation ก็เข้าร่วมการประชุมเมื่อวันพฤหัสบดีด้วย)

Log4j ไม่ใช่โอเพนซอร์สเพียงปัญหาเดียวที่จะเกิดขึ้นเมื่อเร็วๆ นี้ เมื่อสัปดาห์ที่แล้ว ผู้สร้างเครื่องมือซอฟต์แวร์ที่ใช้กันอย่างแพร่หลายสองเครื่องมือตัดสินใจ ปิดการใช้งานอย่างลึกลับผ่านการอัปเดตซอฟต์แวร์ที่แปลกประหลาดจำนวนหนึ่ง Marak Squires ผู้อยู่เบื้องหลังไลบรารี JavaScript ยอดนิยมFaker and Colorsได้โจมตีโปรแกรมอย่างประหลาดและจัดการเพื่อล้มโครงการซอฟต์แวร์อื่น ๆ อีกหลายพันโครงการที่ต้องพึ่งพาพวกเขาเพื่อความสำเร็จ

กล่าวโดยย่อ: มีช่องว่างสำหรับการปรับปรุงอย่างชัดเจน และโชคดีที่ผู้เข้าร่วมประชุมในทำเนียบขาวเมื่อเร็วๆ นี้ดูเหมือนจะตอบสนองได้ค่อนข้างดี ในการประชุม เจค ซัลลิแวน ที่ปรึกษาด้านความมั่นคงแห่งชาติของทำเนียบขาวเรียกซอฟต์แวร์โอเพนซอร์ซว่าเป็น “ประเด็นสำคัญด้านความมั่นคงแห่งชาติ” ในทำนองเดียวกัน Kent Walker ประธานฝ่าย Global Affairs และประธานเจ้าหน้าที่ฝ่ายกฎหมายของ Google ได้เผยแพร่แถลงการณ์ในบล็อกของบริษัทเมื่อวันพฤหัสบดี โดยโต้แย้งว่าเขาต้องการเห็นการสนับสนุนที่ดีขึ้นสำหรับชุมชนโอเพนซอร์ส

วอล์คเกอร์กล่าวว่า "นานเกินไปแล้ว ชุมชนซอฟต์แวร์รู้สึกสบายใจโดยสันนิษฐานว่าซอฟต์แวร์โอเพนซอร์ซโดยทั่วไปมีความปลอดภัยเนื่องจากความโปร่งใส และสมมติฐานที่ว่า 'หลายตา' กำลังจับตามองเพื่อตรวจจับและแก้ไขปัญหา “แต่ในความเป็นจริง แม้ว่าบางโครงการจะจับตาดูพวกเขาหลายคน แต่บางโครงการก็มีน้อยหรือไม่มีเลย”

ในคำกล่าวของเขา Walker ได้แนะนำเพิ่มเติมว่าการสนับสนุนภาครัฐและเอกชนที่เพิ่มขึ้นสำหรับโครงการโอเพนซอร์ซ การจัดตั้งพื้นฐานการรักษาความปลอดภัยและการทดสอบ และการพัฒนาเกณฑ์การให้คะแนนเพื่อระบุโครงการที่ "สำคัญ" ซึ่งเป็นประเภทที่ใช้ประโยชน์ได้มาก (เช่น อาจเป็นบางอย่างเช่น log4j)

สิ่งที่รัฐบาลและสมาชิกคนอื่น ๆ ของ Big Tech คิดไว้สำหรับการรักษาความปลอดภัยแบบโอเพ่นซอร์สที่ดีกว่านั้นยังไม่ชัดเจนในจุดนี้ แต่ความจริงที่ว่าพวกเขากำลังพูดถึงดูเหมือนจะเป็นสัญญาณที่ดี