白宮開源安全會(huì)議后 Google和IBM開始征集關(guān)鍵項(xiàng)目名單

Google和IBM在參加白宮關(guān)于開源安全問(wèn)題的會(huì)議后，敦促科技組織聯(lián)合起來(lái)，確定關(guān)鍵的開源項(xiàng)目。這次會(huì)議由白宮網(wǎng)絡(luò)安全領(lǐng)導(dǎo)人Anne Neuberger領(lǐng)導(dǎo)，與會(huì)者包括Apache、Google、蘋果、亞馬遜、IBM、微軟、Meta、Linux和Oracle等組織的官員，以及國(guó)防部和網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）等政府機(jī)構(gòu)。

這次會(huì)議是在各組織繼續(xù)解決Log4j漏洞的情況下召開的，該漏洞自12月被發(fā)現(xiàn)以來(lái)一直引起關(guān)注。

Google和Alphabet的全球事務(wù)總裁肯特-沃克說(shuō)，鑒于數(shù)字基礎(chǔ)設(shè)施對(duì)世界的重要性，現(xiàn)在是時(shí)候開始用我們對(duì)待物理基礎(chǔ)設(shè)施的方式來(lái)考慮它了。

沃克說(shuō)："開源軟件是大部分網(wǎng)絡(luò)世界的連接組織--它應(yīng)該得到我們對(duì)道路和橋梁的同樣關(guān)注和資助。"在一篇博文中，沃克解釋說(shuō)，在會(huì)議期間，Google就如何在Log4j漏洞發(fā)生后繼續(xù)前進(jìn)提出了幾個(gè)建議。沃克說(shuō)，需要建立一個(gè)公私合作關(guān)系，以確定關(guān)鍵開源項(xiàng)目的清單，而關(guān)鍵性應(yīng)根據(jù)項(xiàng)目的影響力和重要性來(lái)確定。該清單將幫助企業(yè)確定優(yōu)先次序，并為最基本的安全評(píng)估和改進(jìn)分配資源。

IBM的企業(yè)安全執(zhí)行官杰米-托馬斯贊同沃克的意見，并表示白宮會(huì)議"明確了政府和行業(yè)可以共同改善開源的安全實(shí)踐"。

托馬斯說(shuō)："我們可以從鼓勵(lì)廣泛采用開放和合理的安全標(biāo)準(zhǔn)開始，確定應(yīng)該滿足最嚴(yán)格的安全要求的關(guān)鍵開源資產(chǎn)，并促進(jìn)國(guó)家合作，擴(kuò)大開源安全的技能培訓(xùn)和教育，獎(jiǎng)勵(lì)在該領(lǐng)域取得重要進(jìn)展的開發(fā)者。"沃克介紹了像OpenSSF這樣的組織的工作，此前Google向其投資了1億美元，這些組織已經(jīng)在尋求建立這樣的標(biāo)準(zhǔn)。

他還說(shuō)，Google提議成立一個(gè)組織，作為開源維護(hù)的市場(chǎng)，將企業(yè)的志愿者與最需要支持的關(guān)鍵項(xiàng)目相匹配。他指出，Google已經(jīng)"準(zhǔn)備好為此舉貢獻(xiàn)資源"。

博文指出，目前沒有官方的資源分配，也沒有什么正式的要求或標(biāo)準(zhǔn)來(lái)維護(hù)關(guān)鍵開源代碼的安全。大多數(shù)維護(hù)和加強(qiáng)開放源代碼安全的工作，包括修復(fù)已知的漏洞，"都是在臨時(shí)的、自愿的基礎(chǔ)上完成的"。

"長(zhǎng)期以來(lái)，軟件界一直對(duì)這樣的假設(shè)感到欣慰，即由于開源軟件的透明度和'許多眼睛'都在注視著發(fā)現(xiàn)和解決問(wèn)題，所以開源軟件一般是安全的。但事實(shí)上，雖然有些項(xiàng)目確實(shí)有很多眼睛在盯著它們，但其他項(xiàng)目卻很少或根本沒有，"沃克說(shuō)。

阿帕奇軟件基金會(huì)的營(yíng)銷副總裁Joe Brockmeier在一份聲明中說(shuō)，要解決開源供應(yīng)鏈固有的安全問(wèn)題，將需要消費(fèi)和運(yùn)送開源軟件的公司和組織進(jìn)行上游合作。

科技巨頭Akamai也有代表參加了白宮會(huì)議，它支持Google和IBM建議的許多措施，并補(bǔ)充說(shuō)，政府和技術(shù)界需要在發(fā)現(xiàn)漏洞時(shí)建立可靠的遏制計(jì)劃，在首次發(fā)現(xiàn)漏洞時(shí)改善跨政府和行業(yè)的信息共享，并擴(kuò)大政府對(duì)解決方案的授權(quán)以增加防御能力。

Akamai首席安全官Boaz Gelbord表示，次會(huì)議的一個(gè)重要收獲是，大家都認(rèn)識(shí)到需要做更多的工作來(lái)支持開源社區(qū)在不斷變化的威脅環(huán)境中成長(zhǎng)。

"作為開源和開放標(biāo)準(zhǔn)的突出支持者，Akamai認(rèn)為特別需要加強(qiáng)信息共享、強(qiáng)大的漏洞管理和建立遏制計(jì)劃，以控制攻擊的爆炸半徑，"Gelbord說(shuō)。"我們期待著擴(kuò)大我們?cè)陂_源社區(qū)的努力，并為這次白宮會(huì)議提出的重要的下一步措施做出貢獻(xiàn)"。