当地时间1月13日,白宫召开,聚集了谷歌、苹果、亚马逊、微软和其他主要科技组织,包括Apache 软件基金会(Log4j库的所有者和维护者)、 Oracle(Log4j库运行所在的Java软件平台的所有者)、GitHub 和 Linux 开源基金会等等,共同讨论开源软件的安全性。 尤其是经历了2021年12月事态严重超乎想象的之后,开源软件的安全问题正变得越来越紧迫。
据白宫发布的公告,本次讨论主要集中在三个主题:防止代码和开源包中的安全缺陷和漏洞,改进发现缺陷和修复的过程,以及缩短发布和实施修复程序的响应时间。
在第一项主题讨论中,参会者讨论了通过将安全功能集成到开发工具中并保护用于构建、存储和发布代码的基础设施的想法,以让开发人员更容易地编写安全代码,例如使用代码签名和更有力的数字身份。
在第二项主题中,参会者讨论了如何确定最重要的开源项目的优先级以及建立可持续的机制来进行维护。
在最后一项主题中,参会者讨论了根据的要求加速和改进软件物料清单使用的方法。
Google(Alphabet)全球事务总裁兼首席法务官Kent Walker在会后的一篇中表示,Log4j开源软件漏洞表明,开源软件需要与关键基础设施一样受到关注。维护和增强开源安全性的大部分工作,包括修复已知漏洞,都是在临时的、自愿的基础上完成的。 “
长期以来,软件社区一直认为开源软件通常是安全的,因为它是透明的,并且有‘很多双眼睛’都在注视着以发现和解决问题,”Walker说。“但事实上,虽然有些项目确实有很多人关注它们,但其他项目却很少或根本没有。” Walker介绍了谷歌在此次会议上就如何“创建用于维护和保护开源软件的新模式”所提出的建议,包括: 至于基线标准,开源安全基金会(OpenSSF)已经参与其中,而且谷歌也推出了用于“确保整个软件供应链中的中间件的完整性”的框架,并承诺拓展应用。所以这也是一项正在进行的工作。 谷歌还提议建立一个组织作为开源维护市场,将来自公司的志愿者与最需要支持的关键项目相匹配。“许多领先的公司和组织没有认识到他们的关键基础设施有多少部分依赖于开源,”Walker 说。“这就是为什么我们必须看到更多的公共和私人投资来保持生态系统的健康和安全。”
版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/17213.html
