受 Log4j 漏洞事件影響,美國白宮於本週了一場關於開源安全問題的會議;討論改善開源軟體安全的舉措,以及可以迅速推動改進的新的合作方式。早在去年 12 月,白宮國家安全顧問 Jake Sullivan 就已向各大科技公司去信表明要召開此會議;並在信中,由志願者維護基礎性的開源軟體是一個"國家安全問題"。
與會者就如何在開源軟體的安全方面有所作為,同時有效地參與和支援開放原始碼社群進行了實質性和建設性的討論。討論集中在三個主題上:防止程式碼和開源包中的安全缺陷和漏洞、改善發現缺陷和修復缺陷的過程、以及縮短髮布和實施修復的反應時間。
本次會議由白宮網路安全領導人 Anne Neuberger 領導,參會者包括 Akamai、亞馬遜、Apache 軟體基金會、蘋果、Cloudflare、Facebook/Meta、GitHub、谷歌、IBM、Linux 基金會、開源安全基金會、微軟、甲骨文、RedHat、VMWare,以及美國國防部和網路安全與基礎設施安全域性(CISA)等政府機構的官員。美國國家網路總監 Chris Inglis ,"圍繞 Log4j 的情況突出了改善我們的軟體安全和軟體供應鏈透明度的必要性"。
Google & Alphabet 全球事務總裁兼首席法務官 Kent Walker 在一篇部落格中,開源軟體程式碼向公眾開放,任何人都可以免費使用、修改或檢查。開源促進了共同作業創新和新技術的開發,以幫助解決共同的問題;所以一些關鍵基礎設施和國家安全系統的許多方面都應用了開源軟體。但是沒有官方的資源分配,也沒有維護該關鍵程式碼安全的正式要求或標準。事實上,維護和增強開源安全性的大部分工作,包括修復已知漏洞,都是在臨時的、自願的基礎上完成的。
「長期以來,軟體社群一直認為開源軟體通常是安全的。因為它是透明的,並且假設‘許多眼睛’都在注視著以發現和解決問題。但事實上,雖然有些專案確實有很多人關注,但還有很多專案卻很少或根本沒有關注。」
谷歌方面在此次會議上就如何進一步建立維護和保障開源軟體的新模式提出了一些列的建議。包括有:
- 識別關鍵專案。需要一個公私合作伙伴關係來確定一個關鍵開源專案的清單;其中關鍵性是根據專案的影響力和重要性來確定的,以幫助優先考慮和分配資源給最基本的安全評估和改進。
- 建立安全、維護和測試基線。Walker 指出,這些標準應該通過一個合作的過程來制定,強調頻繁的更新、持續的測試和驗證的完整性。並以 OpenSSF 進行了舉例,「幸運的是,軟體社群已經有了一個良好的開端。像 OpenSSF 這樣的組織已經在跨行業努力建立這些標準(包括支援像我們的 SLSA 框架這樣的工作)。」
- 增加公共和私人支援。谷歌提議建立一個組織作為開源維護市場,將來自公司的志願者與最需要支援的關鍵專案相匹配。並表態稱,谷歌「隨時準備好為這一舉措貢獻資源」。
對於上述第一點,IBM 的企業安全主管 Jamie Thomas 表示了贊同並,白宮會議明確表明了"政府和行業可以共同努力改進開源的安全實踐。我們可以從鼓勵廣泛採用開放和合理的安全標準開始,確定應該滿足最嚴格的安全要求的關鍵開源資產,並促進全國範圍內的合作,擴大開源安全的技能培訓和教育,獎勵在該領域取得重要進展的開發者"。
Apache 軟體基金會行銷副總裁 Joe Brockmeier 也在一份宣告中,解決開源供應鏈固有的安全問題沒有單一的「靈丹妙藥」。前進的道路將需要使用和釋出開源軟體的公司和組織進行上游共同作業。