美國當地時間周四白宮舉辦的開源安全峰會之後,Google 呼籲政府更多地參與識別和保護關鍵的開源軟件項目。在峰會結束后不久發表的一篇博文中,Google 和 Alphabet 的全球事務總裁和首席法律官肯特·沃克(Kent Walker)說,政府和私營部門之間需要合作,以進行開源資金和管理。
沃克寫道:“我們需要公私合作,確定一份關鍵開源項目的清單–關鍵程度根據項目的影響力和重要性來確定–以幫助優先考慮和分配資源,用於最基本的安全評估和改進”。
該博文還呼籲增加公共和私人投資,以保持開源生態系統的安全,特別是當軟件被用於基礎設施項目時。在大多數情況下,此類項目的資金和審查是由私營部門進行的。
截至發稿時,白宮尚未對評論請求作出回應。
沃克寫道:“開放源碼軟件代碼是向公眾開放的,任何人都可以免費使用、修改或檢查……。這就是為什麼關鍵基礎設施和國家安全系統的許多方面都採用了它。但沒有官方的資源分配,也沒有什麼正式的要求或標準來維護該關鍵代碼的安全。事實上,大多數維護和加強開源安全的工作,包括修復已知的漏洞,都是在臨時的、自願的基礎上完成的”。
長期以來,開源開發的資金和資源短缺一直被作為一個安全問題提出來,在發現 Log4j Java 庫的一個嚴重漏洞后,這個問題再次成為一個關鍵問題,該漏洞迅速成為近年來最大的網絡安全漏洞。Log4j 庫也是主要由無償勞動開發和維護的。
當開源項目確實收到資金時,它通常來自私人來源,如個人捐款或科技公司的贊助。Google最近為安全開源(SOS)獎勵計劃提供了100萬美元,這是Linux基金會正在實施的一項試點計劃,旨在對致力於改善開源項目安全的開發者進行經濟補償。