白宮開源安全會議後Google和IBM開始徵集關鍵項目名單
Google和IBM在參加白宮關於開源安全問題的會議後,敦促科技組織聯合起來,確定關鍵的開源項目。這次會議由白宮網絡安全領導人Anne Neuberger領導,與會者包括Apache、Google、蘋果、亞馬遜、IBM、微軟、Meta、Linux和Oracle等組織的官員,以及國防部和網絡安全與基礎設施安全局(CISA)等政府機構。
這次會議是在各組織繼續解決Log4j漏洞的情況下召開的,該漏洞自12月被發現以來一直引起關注。
Google和Alphabet的全球事務總裁肯特-沃克說,鑑於數字基礎設施對世界的重要性,現在是時候開始用我們對待物理基礎設施的方式來考慮它了。
沃克說:”開源軟件是大部分網絡世界的連接組織–它應該得到我們對道路和橋樑的同樣關注和資助。”在一篇博文中,沃克解釋說,在會議期間,Google就如何在Log4j漏洞發生後繼續前進提出了幾個建議。沃克說,需要建立一個公私合作關係,以確定關鍵開源項目的清單,而關鍵性應根據項目的影響力和重要性來確定。該清單將幫助企業確定優先次序,並為最基本的安全評估和改進分配資源。
IBM的企業安全執行官傑米-托馬斯贊同沃克的意見,並表示白宮會議”明確了政府和行業可以共同改善開源的安全實踐”。
托馬斯說:”我們可以從鼓勵廣泛採用開放和合理的安全標准開始,確定應該滿足最嚴格的安全要求的關鍵開源資產,並促進國家合作,擴大開源安全的技能培訓和教育,獎勵在該領域取得重要進展的開發者。”沃克介紹了像OpenSSF這樣的組織的工作,此前Google向其投資了1億美元,這些組織已經在尋求建立這樣的標準。
他還說,Google提議成立一個組織,作為開源維護的市場,將企業的志願者與最需要支持的關鍵項目相匹配。他指出,Google已經”準備好為此舉貢獻資源”。
博文指出,目前沒有官方的資源分配,也沒有什麼正式的要求或標準來維護關鍵開源代碼的安全。大多數維護和加強開放源代碼安全的工作,包括修復已知的漏洞,”都是在臨時的、自願的基礎上完成的”。
“長期以來,軟件界一直對這樣的假設感到欣慰,即由於開源軟件的透明度和’許多眼睛’都在註視著發現和解決問題,所以開源軟件一般是安全的。但事實上,雖然有些項目確實有很多眼睛在盯著它們,但其他項目卻很少或根本沒有,”沃克說。
阿帕奇軟件基金會的營銷副總裁Joe Brockmeier在一份聲明中說,要解決開源供應鏈固有的安全問題,將需要消費和運送開源軟件的公司和組織進行上游合作。
科技巨頭Akamai也有代表參加了白宮會議,它支持Google和IBM建議的許多措施,並補充說,政府和技術界需要在發現漏洞時建立可靠的遏制計劃,在首次發現漏洞時改善跨政府和行業的信息共享,並擴大政府對解決方案的授權以增加防禦能力。
Akamai首席安全官Boaz Gelbord表示,次會議的一個重要收穫是,大家都認識到需要做更多的工作來支持開源社區在不斷變化的威脅環境中成長。
“作為開源和開放標準的突出支持者,Akamai認為特別需要加強信息共享、強大的漏洞管理和建立遏制計劃,以控制攻擊的爆炸半徑,”Gelbord說。”我們期待著擴大我們在開源社區的努力,並為這次白宮會議提出的重要的下一步措施做出貢獻”。