Het Witte Huis heeft vorige week met overheidsinstanties en techbedrijven, waaronder Apple, Google en Microsoft, gesproken over initiatieven om de veiligheid van opensourcesoftware te verbeteren. De meeste software bevat opensourcesoftware, aldus het Witte Huis. Het gaat onder andere om de software waarmee de nationale Amerikaanse veiligheidsdiensten werken.

"Open source biedt unieke waarde en heeft unieke veiligheidsuitdagingen vanwege de reikwijdte van het gebruik en het aantal vrijwilligers dat verantwoordelijk is voor de veiligheid ervan", zo stelt het Witte Huis in een verklaring. Tijdens een bijeenkomst vorige week, waar ook de Linux Foundation en Red Hat aanwezig waren, werd gesproken over de veiligheid van opensourcesoftware.

De gesprekken gingen over drie onderwerpen: het voorkomen van kwetsbaarheden in opensourcesoftware, het verbeteren van het proces om kwetsbaarheden te vinden en verhelpen en als laatste het verkorten van de tijd voor het verspreiden en implementeren van beveiligingsupdates.

Zo moet het door het toevoegen beveiligingsfeatures aan ontwikkelingstools eenvoudiger voor ontwikkelaars worden om veilige code te schrijven. Verder moeten er mechanismes komen zodat belangrijke opensourceprojecten duurzaam onderhouden kunnen worden. Daarnaast moet het gebruik van Software Bills of Material (SBoM), dat inzicht in de onderdelen van de software in kwestie geeft, worden versneld en verbeterd.

Het Witte Huis geeft aan dat deelnemers, zowel de private sector als overheid, de gesprekken over deze initiatieven in de komende weken zullen voortzetten. Naar aanleiding van de Log4j-kwetsbaarheid stelden experts dat veel organisaties niet weten van welke software ze gebruikmaken en dat deze software door een kleine groep vrijwilligers wordt onderhouden. Deelnemers aan de gesprekken, zoals RedHat, zijn positief over de aanpak van het Witte Huis.