GMTC北京站9折购票倒计时,部分日程已上线,戳此查看 了解详情
写点什么

Log4j 漏洞事件之后,白宫召集谷歌、苹果等公司讨论开源软件安全问题

  • 2022 年 1 月 16 日
  • 本文字数:1025 字

    阅读完需:约 3 分钟

Log4j 漏洞事件之后,白宫召集谷歌、苹果等公司讨论开源软件安全问题

当地时间 1 月 13 日,白宫召开开源软件安全峰会,聚集了谷歌、苹果、亚马逊、微软和其他主要科技组织,包括 Apache 软件基金会(Log4j 库的所有者和维护者)、 Oracle(Log4j 库运行所在的 Java 软件平台的所有者)、GitHub 和 Linux 开源基金会等等,共同讨论开源软件的安全性。


尤其是经历了 2021 年 12 月事态严重超乎想象的Log4j漏洞之后,开源软件的安全问题正变得越来越紧迫。


据白宫发布的公告,本次讨论主要集中在三个主题:防止代码和开源包中的安全缺陷和漏洞,改进发现缺陷和修复的过程,以及缩短发布和实施修复程序的响应时间。


在第一项主题讨论中,参会者讨论了通过将安全功能集成到开发工具中并保护用于构建、存储和发布代码的基础设施的想法,以让开发人员更容易地编写安全代码,例如使用代码签名和更有力的数字身份。在第二项主题中,参会者讨论了如何确定最重要的开源项目的优先级以及建立可持续的机制来进行维护。在最后一项主题中,参会者讨论了根据总统行政命令的要求加速和改进软件物料清单使用的方法。


Google(Alphabet)全球事务总裁兼首席法务官 Kent Walker 在会后的一篇文章中表示,Log4j 开源软件漏洞表明,开源软件需要与关键基础设施一样受到关注。维护和增强开源安全性的大部分工作,包括修复已知漏洞,都是在临时的、自愿的基础上完成的。


“长期以来,软件社区一直认为开源软件通常是安全的,因为它是透明的,并且有‘很多双眼睛’都在注视着以发现和解决问题,”Walker 说。“但事实上,虽然有些项目确实有很多人关注它们,但其他项目却很少或根本没有。”


Walker 介绍了谷歌在此次会议上就如何“创建用于维护和保护开源软件的新模式”所提出的建议,包括:


  • 识别关键开源项目

  • 建立安全、维护和测试的基线标准

  • 增加公众和私人支持了解哪些开源项目的影响范围最广,对于了解哪些错误会产生最广泛的影响至关重要。据悉,谷歌软件工程师已经在考虑在软件上下文中定义“关键性”,为最重要的安全评估和改进确定优先级并分配资源,这项工作已经在进行中。


至于基线标准,开源安全基金会(OpenSSF)已经参与其中,而且谷歌也推出了用于“确保整个软件供应链中的中间件的完整性”的框架,并承诺拓展应用。所以这也是一项正在进行的工作。


谷歌还提议建立一个组织作为开源维护市场,将来自公司的志愿者与最需要支持的关键项目相匹配。“许多领先的公司和组织没有认识到他们的关键基础设施有多少部分依赖于开源,”Walker 说。“这就是为什么我们必须看到更多的公共和私人投资来保持生态系统的健康和安全。”

2022 年 1 月 16 日 13:084410
用户头像
罗燕珊 InfoQ中文站编辑

发布了 247 篇内容, 共 99.9 次阅读, 收获喜欢 473 次。

关注

评论

发布
暂无评论
发现更多内容

故障的传播方式与隔离办法

Wales Kuo

Flink Weekly | 每周社区动态更新

Apache Flink

大数据 flink 流计算 实时计算

面向页面的移动端架构设计

稻子

flutter ios android 大前端 架构模式

有了容器为什么kubernetes还需要Pod?

架构师修行之路

Kubernetes 分布式 云原生 pod

终于有一款组件可以全面超越Apache POI

葡萄城技术团队

前后端分离 服务端 GrapeCity Documents

《硅谷革命:成就苹果公司的疯狂往事》读后感

顾强

Dubbo集成Sentinel实现限流

Java收录阁

sentinel

编写制度的几点实用建议

石君

制度 编写制度 安全管理

Spring 中不同依赖注入方式的对比与剖析

Deecyn

spring

初探Electron,从入门到实践

葡萄城技术团队

大前端 Electron SpreadJS

你竞争我得利之零售变革

孙苏勇

行业资讯

业务信息化操作系统(BIOS)——中台的核心产出物

孤岛旭日

中台 操作系统 企业信息化

回“疫”录(15):在家SOHO,是你想要的工作方式吗?

小天同学

疫情 回忆录 现实纪录 纪实 远程办公

前浪的经验:区块链软件,一定也要去中心化

WasmEdge

比特币 区块链 智能合约 以太坊 加密货币

需求是被挖掘还是被创造出来的?

Neco.W

产品 互联网 需求

油管博主路透 3080Ti 参数、黄教主烤箱中拿出 DGX A100 预热发布会

神经星星

人工智能 互联网巨头 gpu 互联网 英伟达

借助第一性原理开启中台建设

数字圣杯

数据中台 数字化转型

认识数据产品经理(三 成为数据产品经理)

马踏飞机747

大数据 数据中台 数据分析 产品经理

爱是恒久忍耐,又有恩慈

霍太稳@极客邦科技

身心健康 心理

反对996,但是选择996是一个怎样的矛盾心态?

顾强

职场 加班

高效阅读,成就自我-《麦肯锡精英高效阅读法》读后感

顾强

读书笔记 读书 读书方式

21天养不成习惯,28天也不行。不要痴心妄想。

赵新龙

TGO鲲鹏会 习惯养成

算法工程师的发展路径

薛梁Lucien

编程的门槛 - 抄作业的得与失

顿晓

编程门槛 编程思维 动手能力 抄作业

高仿瑞幸小程序 08 创建第一个云函数

曾伟@喵先森

小程序 微信小程序 大前端 移动

回顾经典,Netflix的推荐系统架构

王喆

人工智能 学习 推荐系统 netflix

“字节”不断“跳动”,卡拉永远 OK?

无量靠谱

字节跳动 诺基亚 危机

一杯茶的时间,上手 React 框架开发

图雀社区

Reac

游戏夜读 | 关卡设计为什么难?

game1night

猿灯塔-Phaser 使用介绍

猿灯塔

从波音747学项目管理

顾强

项目管理 读书感悟 沟通

Log4j 漏洞事件之后,白宫召集谷歌、苹果等公司讨论开源软件安全问题_开源_罗燕珊_InfoQ精选文章