Google 呼吁政府参与和保护关键开源项目 避免 Log4j 漏洞重演

美国当地时间周四白宫举办的开源安全峰会之后, Google 呼吁政府更多地参与识别和保护关键的开源软件项目. 在峰会结束后不久发表的一篇博文中, Google 和 Alphabet 的全球事务总裁和首席法律官肯特. 沃克 (Kent Walker) 说, 政府和私营部门之间需要合作, 以进行开源资金和管理.

沃克写道:"我们需要公私合作, 确定一份关键开源项目的清单 -- 关键程度根据项目的影响力和重要性来确定 -- 以帮助优先考虑和分配资源, 用于最基本的安全评估和改进".

该博文还呼吁增加公共和私人投资, 以保持开源生态系统的安全, 特别是当软件被用于基础设施项目时. 在大多数情况下, 此类项目的资金和审查是由私营部门进行的.

截至发稿时, 白宫尚未对评论请求作出回应.

沃克写道:"开放源码软件代码是向公众开放的, 任何人都可以免费使用, 修改或检查....... 这就是为什么关键基础设施和国家安全系统的许多方面都采用了它. 但没有官方的资源分配, 也没有什么正式的要求或标准来维护该关键代码的安全. 事实上, 大多数维护和加强开源安全的工作, 包括修复已知的漏洞, 都是在临时的, 自愿的基础上完成的".

长期以来, 开源开发的资金和资源短缺一直被作为一个安全问题提出来, 在发现 Log4j Java 库的一个严重漏洞后, 这个问题再次成为一个关键问题, 该漏洞迅速成为近年来最大的网络安全漏洞. Log4j 库也是主要由无偿劳动开发和维护的.

当开源项目确实收到资金时, 它通常来自私人来源, 如个人捐款或科技公司的赞助. Google 最近为安全开源 (SOS) 奖励计划提供了 100 万美元, 这是 Linux 基金会正在实施的一项试点计划, 旨在对致力于改善开源项目安全的开发者进行经济补偿.

来源: http://netsecurity.51cto.com/art/202201/699105.htm