Apache Web 伺服器的主要開發人員布萊恩·貝倫多夫（Brian Behlendorf）近日發佈文章，呼籲多個開源基金會緊密合作，防止 Log4Shell 此類問題再次發生。 文章中提及了目前開源領域安全工作資源不足，在制定標準和要求以減少重大漏洞的機會方面受到束縛，並提出了幾個建議來減輕安全風險。

圖片來自於 Flickr

為防止 Log4Shell 此類問題再次發生，Brian Behlendorf 倡議開源軟體基金會們可以做以下幾件事，以減輕安全風險：

● 建立一個組織範圍內的安全團隊，接收和分流漏洞報告，以及協調對其他受影響專案和組織的回應和披露。

● 通過CI工具執行頻繁的安全掃描，以檢測軟體中的未知漏洞並識別依賴關係中的已知漏洞。

● 對關鍵代碼進行不定期的外部安全審計，特別是在新的重大發佈之前。

● 要求專案使用測試框架，並確保較高的代碼覆蓋率，這樣就可以阻止沒有測試的功能，並主動淘汰未被使用的功能。

● 要求專案刪除已廢棄或易受影響的依賴關係。 （一些Apache項目沒有受到Log4j v2 CVE的影響，因為他們仍在使用Log4j v1，該版本有已知的弱點，並且自2015年以來沒有得到更新！ )

● 鼓勵並最終要求使用SBOM格式，如SPDX，以幫助每個人更容易和快速地跟蹤依賴關係，從而使漏洞更容易被發現和修復。

● 鼓勵並最終要求維護者展示對安全軟體開發實踐基礎知識的熟悉程度。

其中的許多內容都被納入了CII最佳實踐徽章中，這是將這些內容編入客觀可比的指標的首次嘗試之一，這項工作現在已經轉移到OpenSSF。 OpenSSF還為開發者發佈了一個關於如何開發安全軟體的免費課程，而SPDX最近也被公佈為ISO標準。