تبدي إدارة الرئيس الأمريكي، جو بايدن، اهتمامًا بحماية البرمجيات المفتوحة المصدر، حيث اجتمع نحو 90 مسؤولًا حكوميًا ومديرًا تنفيذيًا من القطاع الخاص في واشنطن هذا الأسبوع لصياغة الخطة الجديدة الطويلة المدى لحماية التعليمات البرمجية المفتوحة المصدر المتاحة للجمهور.
وتحتوي معظم البرامج على بعض التعليمات البرمجية المفتوحة المصدر، وعادةً ما يكون مطورو المشاريع المفتوحة المصدر متطوعين غير قادرين على مواكبة ترقيات الأمان، كما أن العديد منهم لا يحتفظون بقوائم تفصيلية للبرمجيات المتضمنة تعليماتهم البرمجية.
ويعني ذلك أن الأمر قد يستغرق سنوات حتى تدرك الشركات تأثر منتجاتها كلما عُثر على ثغرة أمنية خطيرة في مشروع مفتوح المصدر.
واستضافت مؤسسة أمن المصادر المفتوحة OpenSSF قمة لمدة يومين في واشنطن العاصمة لمناقشة بعض القضايا الأمنية التي لا يزال يعاني منها مجتمع المصادر المفتوحة.
وشارك في القمة مسؤولون حكوميون من البيت الأبيض، ووزارة الدفاع، ووكالة الأمن السيبراني وأمن البنية التحتية، والمؤسسة الوطنية للعلوم ومكاتب أخرى إلى جانب مجموعة من الشركات، ومنها أمازون وآبل وجي بي مورجان و GitHub.
واعتمدت القمة على مجموعة من اجتماعات البيت الأبيض في العام الماضي ومبادرات قطاع التكنولوجيا في أعقاب الثغرة الأمنية الخطيرة الواسعة النطاق Log4j.
واستضاف البيت الأبيض القمة الأولى في شهر يناير 2022، وعقد اجتماع متابعة في شهر مايو الماضي لمناقشة حلول السياسة والقطاع الخاص.
وتعهدت شركات التكنولوجيا بمبلغ 30 مليون دولار لتمويل خطة من 10 نقاط لتحسين تأمين البرمجيات المفتوحة المصدر، مثل إنشاء دورات OpenSSF الجديدة لتثقيف مجتمع المصادر المفتوحة وتوفير مراجعات للتعليمات البرمجية من طرف خارجي لبعض المشاريع المهمة.
وشارك منذ شهر مايو 2022 أكثر من 20 ألف مطور في دورات مؤسسة أمن المصادر المفتوحة لتعليم الأمان.
وقالت آن نويبرجر، نائبة مستشار الأمن القومي لشؤون الإنترنت والتقنيات الناشئة: “وضعنا في العام الماضي أهدافًا قوية؛ لأن حادثة Log4j سلطت الضوء على مدى أهمية المصادر المفتوحة وأوضحت وجود مشكلات منهجية تتعلق بالمصادر المفتوحة بحاجة إلى معالجة لتحسين الأمان”.
وناقش المشاركون في القمة الوضع الحالي لأمان المصادر المفتوحة وقدموا تحديثات حول المشاريع التي أطلقوها في العام الماضي.
كما وضع المشاركون مواثيق لمجموعة من فرق العمل الجديدة التي تركز على مختلف الموضوعات الأمنية المفتوحة المصدر، حيث تعمل فرق العمل هذه داخل OpenSSF على مدار العام وتقدم تحديثات دورية للبيت الأبيض.
وخرج المشاركون في القمة بدعوة جديدة للعمل وخطط للمبادرات المستقبلية بين القطاعين العام والخاص. وتأمل OpenSSF في عقد قمة أخرى في الخريف المقبل.