白宮開源安全會議后 Google和IBM開始征集關(guān)鍵項目名單

Google和IBM在參加白宮關(guān)于開源安全問題的會議后，敦促科技組織聯(lián)合起來，確定關(guān)鍵的開源項目。這次會議由白宮網(wǎng)絡(luò)安全領(lǐng)導(dǎo)人Anne Neuberger領(lǐng)導(dǎo)，與會者包括Apache、Google、蘋果、亞馬遜、IBM、微軟、Meta、Linux和Oracle等組織的官員，以及國防部和網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）等政府機(jī)構(gòu)。

這次會議是在各組織繼續(xù)解決Log4j漏洞的情況下召開的，該漏洞自12月被發(fā)現(xiàn)以來一直引起關(guān)注。

Google和Alphabet的全球事務(wù)總裁肯特-沃克說，鑒于數(shù)字基礎(chǔ)設(shè)施對世界的重要性，現(xiàn)在是時候開始用我們對待物理基礎(chǔ)設(shè)施的方式來考慮它了。

沃克說："開源軟件是大部分網(wǎng)絡(luò)世界的連接組織--它應(yīng)該得到我們對道路和橋梁的同樣關(guān)注和資助。"在一篇博文中，沃克解釋說，在會議期間，Google就如何在Log4j漏洞發(fā)生后繼續(xù)前進(jìn)提出了幾個建議。沃克說，需要建立一個公私合作關(guān)系，以確定關(guān)鍵開源項目的清單，而關(guān)鍵性應(yīng)根據(jù)項目的影響力和重要性來確定。該清單將幫助企業(yè)確定優(yōu)先次序，并為最基本的安全評估和改進(jìn)分配資源。

IBM的企業(yè)安全執(zhí)行官杰米-托馬斯贊同沃克的意見，并表示白宮會議"明確了政府和行業(yè)可以共同改善開源的安全實踐"。

托馬斯說："我們可以從鼓勵廣泛采用開放和合理的安全標(biāo)準(zhǔn)開始，確定應(yīng)該滿足最嚴(yán)格的安全要求的關(guān)鍵開源資產(chǎn)，并促進(jìn)國家合作，擴(kuò)大開源安全的技能培訓(xùn)和教育，獎勵在該領(lǐng)域取得重要進(jìn)展的開發(fā)者。"沃克介紹了像OpenSSF這樣的組織的工作，此前Google向其投資了1億美元，這些組織已經(jīng)在尋求建立這樣的標(biāo)準(zhǔn)。

他還說，Google提議成立一個組織，作為開源維護(hù)的市場，將企業(yè)的志愿者與最需要支持的關(guān)鍵項目相匹配。他指出，Google已經(jīng)"準(zhǔn)備好為此舉貢獻(xiàn)資源"。

博文指出，目前沒有官方的資源分配，也沒有什么正式的要求或標(biāo)準(zhǔn)來維護(hù)關(guān)鍵開源代碼的安全。大多數(shù)維護(hù)和加強(qiáng)開放源代碼安全的工作，包括修復(fù)已知的漏洞，"都是在臨時的、自愿的基礎(chǔ)上完成的"。

"長期以來，軟件界一直對這樣的假設(shè)感到欣慰，即由于開源軟件的透明度和'許多眼睛'都在注視著發(fā)現(xiàn)和解決問題，所以開源軟件一般是安全的。但事實上，雖然有些項目確實有很多眼睛在盯著它們，但其他項目卻很少或根本沒有，"沃克說。

阿帕奇軟件基金會的營銷副總裁Joe Brockmeier在一份聲明中說，要解決開源供應(yīng)鏈固有的安全問題，將需要消費和運送開源軟件的公司和組織進(jìn)行上游合作。

科技巨頭Akamai也有代表參加了白宮會議，它支持Google和IBM建議的許多措施，并補充說，政府和技術(shù)界需要在發(fā)現(xiàn)漏洞時建立可靠的遏制計劃，在首次發(fā)現(xiàn)漏洞時改善跨政府和行業(yè)的信息共享，并擴(kuò)大政府對解決方案的授權(quán)以增加防御能力。

Akamai首席安全官Boaz Gelbord表示，次會議的一個重要收獲是，大家都認(rèn)識到需要做更多的工作來支持開源社區(qū)在不斷變化的威脅環(huán)境中成長。

"作為開源和開放標(biāo)準(zhǔn)的突出支持者，Akamai認(rèn)為特別需要加強(qiáng)信息共享、強(qiáng)大的漏洞管理和建立遏制計劃，以控制攻擊的爆炸半徑，"Gelbord說。"我們期待著擴(kuò)大我們在開源社區(qū)的努力，并為這次白宮會議提出的重要的下一步措施做出貢獻(xiàn)"。