白宮開源安全會議后 Google和IBM開始征集關鍵項目名單

Google和IBM在參加白宮關于開源安全問題的會議后，敦促科技組織聯(lián)合起來，確定關鍵的開源項目。這次會議由白宮網(wǎng)絡安全領導人Anne Neuberger領導，與會者包括Apache、Google、蘋果、亞馬遜、IBM、微軟、Meta、Linux和Oracle等組織的官員，以及國防部和網(wǎng)絡安全與基礎設施安全局（CISA）等政府機構。

這次會議是在各組織繼續(xù)解決Log4j漏洞的情況下召開的，該漏洞自12月被發(fā)現(xiàn)以來一直引起關注。

Google和Alphabet的全球事務總裁肯特-沃克說，鑒于數(shù)字基礎設施對世界的重要性，現(xiàn)在是時候開始用我們對待物理基礎設施的方式來考慮它了。

沃克說："開源軟件是大部分網(wǎng)絡世界的連接組織--它應該得到我們對道路和橋梁的同樣關注和資助。"在一篇博文中，沃克解釋說，在會議期間，Google就如何在Log4j漏洞發(fā)生后繼續(xù)前進提出了幾個建議。沃克說，需要建立一個公私合作關系，以確定關鍵開源項目的清單，而關鍵性應根據(jù)項目的影響力和重要性來確定。該清單將幫助企業(yè)確定優(yōu)先次序，并為最基本的安全評估和改進分配資源。

IBM的企業(yè)安全執(zhí)行官杰米-托馬斯贊同沃克的意見，并表示白宮會議"明確了政府和行業(yè)可以共同改善開源的安全實踐"。

托馬斯說："我們可以從鼓勵廣泛采用開放和合理的安全標準開始，確定應該滿足最嚴格的安全要求的關鍵開源資產(chǎn)，并促進國家合作，擴大開源安全的技能培訓和教育，獎勵在該領域取得重要進展的開發(fā)者。"沃克介紹了像OpenSSF這樣的組織的工作，此前Google向其投資了1億美元，這些組織已經(jīng)在尋求建立這樣的標準。

他還說，Google提議成立一個組織，作為開源維護的市場，將企業(yè)的志愿者與最需要支持的關鍵項目相匹配。他指出，Google已經(jīng)"準備好為此舉貢獻資源"。

博文指出，目前沒有官方的資源分配，也沒有什么正式的要求或標準來維護關鍵開源代碼的安全。大多數(shù)維護和加強開放源代碼安全的工作，包括修復已知的漏洞，"都是在臨時的、自愿的基礎上完成的"。

"長期以來，軟件界一直對這樣的假設感到欣慰，即由于開源軟件的透明度和'許多眼睛'都在注視著發(fā)現(xiàn)和解決問題，所以開源軟件一般是安全的。但事實上，雖然有些項目確實有很多眼睛在盯著它們，但其他項目卻很少或根本沒有，"沃克說。

阿帕奇軟件基金會的營銷副總裁Joe Brockmeier在一份聲明中說，要解決開源供應鏈固有的安全問題，將需要消費和運送開源軟件的公司和組織進行上游合作。

科技巨頭Akamai也有代表參加了白宮會議，它支持Google和IBM建議的許多措施，并補充說，政府和技術界需要在發(fā)現(xiàn)漏洞時建立可靠的遏制計劃，在首次發(fā)現(xiàn)漏洞時改善跨政府和行業(yè)的信息共享，并擴大政府對解決方案的授權以增加防御能力。

Akamai首席安全官Boaz Gelbord表示，次會議的一個重要收獲是，大家都認識到需要做更多的工作來支持開源社區(qū)在不斷變化的威脅環(huán)境中成長。

"作為開源和開放標準的突出支持者，Akamai認為特別需要加強信息共享、強大的漏洞管理和建立遏制計劃，以控制攻擊的爆炸半徑，"Gelbord說。"我們期待著擴大我們在開源社區(qū)的努力，并為這次白宮會議提出的重要的下一步措施做出貢獻"。