Google和IBM在参加白宫关于开源安全问题的会议后,敦促科技组织联合起来,确定关键的开源项目。这次会议由白宫网络安全领导人Anne Neuberger领导,与会者包括Apache、Google、苹果、亚马逊、IBM、微软、Meta、Linux和Oracle等组织的官员,以及国防部和网络安全与基础设施安全局(CISA)等政府机构。
这次会议是在各组织继续解决Log4j漏洞的情况下召开的,该漏洞自12月被发现以来一直引起关注。
Google和Alphabet的全球事务总裁肯特-沃克说,鉴于数字基础设施对世界的重要性,现在是时候开始用我们对待物理基础设施的方式来考虑它了。
沃克说:"开源软件是大部分网络世界的连接组织--它应该得到我们对道路和桥梁的同样关注和资助。"在一篇博文中,沃克解释说,在会议期间,Google就如何在Log4j漏洞发生后继续前进提出了几个建议。沃克说,需要建立一个公私合作关系,以确定关键开源项目的清单,而关键性应根据项目的影响力和重要性来确定。该清单将帮助企业确定优先次序,并为最基本的安全评估和改进分配资源。
IBM的企业安全执行官杰米-托马斯赞同沃克的意见,并表示白宫会议"明确了政府和行业可以共同改善开源的安全实践"。
托马斯说:"我们可以从鼓励广泛采用开放和合理的安全标准开始,确定应该满足最严格的安全要求的关键开源资产,并促进国家合作,扩大开源安全的技能培训和教育,奖励在该领域取得重要进展的开发者。"沃克介绍了像OpenSSF这样的组织的工作,此前Google向其投资了1亿美元,这些组织已经在寻求建立这样的标准。
他还说,Google提议成立一个组织,作为开源维护的市场,将企业的志愿者与最需要支持的关键项目相匹配。他指出,Google已经"准备好为此举贡献资源"。
博文指出,目前没有官方的资源分配,也没有什么正式的要求或标准来维护关键开源代码的安全。大多数维护和加强开放源代码安全的工作,包括修复已知的漏洞,"都是在临时的、自愿的基础上完成的"。
"长期以来,软件界一直对这样的假设感到欣慰,即由于开源软件的透明度和'许多眼睛'都在注视着发现和解决问题,所以开源软件一般是安全的。但事实上,虽然有些项目确实有很多眼睛在盯着它们,但其他项目却很少或根本没有,"沃克说。
阿帕奇软件基金会的营销副总裁Joe Brockmeier在一份声明中说,要解决开源供应链固有的安全问题,将需要消费和运送开源软件的公司和组织进行上游合作。
科技巨头Akamai也有代表参加了白宫会议,它支持Google和IBM建议的许多措施,并补充说,政府和技术界需要在发现漏洞时建立可靠的遏制计划,在首次发现漏洞时改善跨政府和行业的信息共享,并扩大政府对解决方案的授权以增加防御能力。
Akamai首席安全官Boaz Gelbord表示,次会议的一个重要收获是,大家都认识到需要做更多的工作来支持开源社区在不断变化的威胁环境中成长。
"作为开源和开放标准的突出支持者,Akamai认为特别需要加强信息共享、强大的漏洞管理和建立遏制计划,以控制攻击的爆炸半径,"Gelbord说。"我们期待着扩大我们在开源社区的努力,并为这次白宫会议提出的重要的下一步措施做出贡献"。