当地时间 1 月 13 日,白宫召开开源软件安全峰会,聚集了谷歌、苹果、亚马逊、微软和其他主要科技组织,包括 Apache 软件基金会(Log4j 库的所有者和维护者)、 Oracle(Log4j 库运行所在的 Java 软件平台的所有者)、GitHub 和 Linux 开源基金会等等,共同讨论开源软件的安全性。
尤其是经历了 2021 年 12 月事态严重超乎想象的Log4j漏洞之后,开源软件的安全问题正变得越来越紧迫。
据白宫发布的公告,本次讨论主要集中在三个主题:防止代码和开源包中的安全缺陷和漏洞,改进发现缺陷和修复的过程,以及缩短发布和实施修复程序的响应时间。
在第一项主题讨论中,参会者讨论了通过将安全功能集成到开发工具中并保护用于构建、存储和发布代码的基础设施的想法,以让开发人员更容易地编写安全代码,例如使用代码签名和更有力的数字身份。在第二项主题中,参会者讨论了如何确定最重要的开源项目的优先级以及建立可持续的机制来进行维护。在最后一项主题中,参会者讨论了根据总统行政命令的要求加速和改进软件物料清单使用的方法。
Google(Alphabet)全球事务总裁兼首席法务官 Kent Walker 在会后的一篇文章中表示,Log4j 开源软件漏洞表明,开源软件需要与关键基础设施一样受到关注。维护和增强开源安全性的大部分工作,包括修复已知漏洞,都是在临时的、自愿的基础上完成的。
“长期以来,软件社区一直认为开源软件通常是安全的,因为它是透明的,并且有‘很多双眼睛’都在注视着以发现和解决问题,”Walker 说。“但事实上,虽然有些项目确实有很多人关注它们,但其他项目却很少或根本没有。”
Walker 介绍了谷歌在此次会议上就如何“创建用于维护和保护开源软件的新模式”所提出的建议,包括:
识别关键开源项目
建立安全、维护和测试的基线标准
增加公众和私人支持了解哪些开源项目的影响范围最广,对于了解哪些错误会产生最广泛的影响至关重要。据悉,谷歌软件工程师已经在考虑在软件上下文中定义“关键性”,为最重要的安全评估和改进确定优先级并分配资源,这项工作已经在进行中。
至于基线标准,开源安全基金会(OpenSSF)已经参与其中,而且谷歌也推出了用于“确保整个软件供应链中的中间件的完整性”的框架,并承诺拓展应用。所以这也是一项正在进行的工作。
谷歌还提议建立一个组织作为开源维护市场,将来自公司的志愿者与最需要支持的关键项目相匹配。“许多领先的公司和组织没有认识到他们的关键基础设施有多少部分依赖于开源,”Walker 说。“这就是为什么我们必须看到更多的公共和私人投资来保持生态系统的健康和安全。”
评论