谷歌、苹果、Facebook等企业齐聚白宫，探讨如何提高开源软件安全性

多年来，安全专家和开发人员一直强调和预警，需要对构成互联网发展重要支撑的开源项目提供更好的安全性和更强的支持，这些项目是无数商业应用程序和工具的关键组成部分。开源安全问题在近期Log4J 漏洞爆发和知名工具库 Faker.js 创建者 Marak 清空代码仓库等等事件下成为了焦点。

同时，开源安全问题也引起了各个国家政府和相关机构的关注。上周四，美国白宫举办了一场关于开源安全的讨论会议。在本次会议上来自谷歌、GitHub、苹果、Facebook和其他组织的关键技术负责人等参与了如何提高开源软件的安全性的讨论，并提出建议建立一个组织，去支持需要帮助的开源项目，并为其提供匹配的志愿者这一解决方案。

几乎所有专有的商业软件都包括开源组件或库，正如 Log4J 问题所证明的那样，一个广泛使用的开源工具中的缺陷可能会产生多层级联效应。无数的应用程序和工具中都使用了Log4J，上个月浮出水面的远程代码执行漏洞组的后果可能会在未来很多年里感受到。

许多技术供应商已通过诸如OSTIF、谷歌 OSS-Fuzz 服务进行开源项目模糊测试、互联网漏洞赏金等方式，投入资源来帮助开源开发人员和维护人员评估和提高其代码的安全性。这些举措可以对开源项目产生重大影响，因为对于大多数开源开发人员来说，最大的障碍可能是缺乏时间和资源来识别和修复安全问题。金钱可以提供帮助，但需要与合适的人建立联系才能走的长久，尤其是对于单独的开发人员或维护指定项目的小型团队而言。

在白宫会议期间，谷歌提议通过建立一个组织，帮助志愿者与需要资源的开源项目进行匹配来解决这个问题。

“我们已经看到一两行易受攻击的代码如何对整个系统的健康、安全和可信度产生巨大影响。”

“许多领先的公司和组织没有意识到他们的关键基础设施有多少部分依赖于开源。这就是为什么我们必须看到更多的公共和私人投资来保持生态系统的健康和安全。在今天的讨论中，我们提议建立一个组织作为开源维护市场，将来自公司的志愿者与最需要支持的关键项目相匹配。谷歌随时准备为这项工作贡献资源，”谷歌全球事务总裁兼首席法务官肯特·沃克 (Kent Walker)表示。

“鉴于数字基础设施在我们生活中的重要性，是时候开始以与我们处理物理基础设施相同的方式来思考它了。开源软件是大部分网络世界的结缔组织——它值得我们为道路和桥梁提供同样的关注和资金。”

此外，另一个核心问题是，确定重要且广泛使用的开源项目和工具，它们对保障国家安全也是至关重要的。OSSF在 2020 年开发了一种方法来评估项目的关键性，该方法基于许多参数，例如项目的年龄、贡献者的数量、这些贡献者所属的组织数量以及其他因素。但这只是一种方法，某些人认为关键的方法可能不适合其他人。三个月前，Log4J 可能还没有被视为一个关键项目，但现在很少有人会反对这一说法。

“我们已经看到，一两行易受攻击的代码如何在眨眼间对整个系统的健康、安全和可信度产生巨大影响。虽然这不是一个新问题，正如我们在 Heartbleed 中看到的那样，但最近的事件进一步强调了科技行业可以联合起来提供帮助的两种方式。首先，必须有行业和社区的集体努力来保护软件供应链。其次，我们需要更好地支持开源维护者，让他们更容易保护自己的项目，” GitHub 首席安全官Mike Hanley说。

与谷歌一样，GitHub 也投入了资金和其他资源来提高开源生态系统的安全性，例如为开发人员提供免费的安全培训，并启动一项允许公司赞助他们使用的开源项目的计划。该公司还计划在今年晚些时候启动一项计划，允许安全研究人员私下联系维护人员以披露安全问题。

早前，Github首席安全官 Mike Hanley 在博客上写道，开放软件被广泛使用，但在向开发人员提供的资源方面仍然缺乏支持。

英文链接：

https://duo.com/decipher/tech-leaders-federal-officials-seek-a-way-forward-for-open-source-security

  往期阅读推荐

• Apache Kylin PMC 马洪宾：开源，就是一场“螺旋上升”的旅程
• 解读开源的2021：从“开发者亚文化”，变成主流软件开发模式
• 进击与危机同在，对抗与成长共存：2021年开源圈大事件盘点
• 陈梓立tison：投身开源，需要持之以恒的热爱与贡献

腾源会（WeOpen）是腾讯云成立的汇聚开源项目、开源爱好者、开源领导者的开放社区，致力于帮助开源项目健康成长、开源爱好者能交流协助、开源领导者能发挥领袖价值，让全球开源生态变得更加繁荣。

欢迎关注「腾源会」公众号，期待你的「在看」哦～👇