源软件是整个开发社区的集体合作,需要私人和公共的支持。然而,保护开源软件可能很棘手。由于有这么多不同的人参与编码,安全措施经常被忽视,增加了漏洞被利用的可能性。开源软件安全倡议(OS31) 旨在对开源安全流程进行治理。 在 Log4Shell 漏洞出现后,保护开源软件成为联邦政府的首要任务。这项新举措的目标是:
OS31 发布后不久,包括国家网络主管办公室(ONCD)和网络安全基础设施安全局(CISA)在内的各政府机构都发出了信息请求(RFI),以“邀请公众就开源软件安全的长期关注和优先领域发表评论”。 白宫于 2024 年 8 月发布了RFI摘要。结果提供了广泛的建议清单,其中列出了受访者希望优先考虑的领域,以提高整个开源软件生态系统的安全性。以下是前三名。 1. 确保开源软件基础看来受访者的首要任务之一是制定标准,以保护开源软件的基础。例如,保护遗留系统长期以来一直是开发人员和 IT 人员的难题,因此受访者强调 OS31 需要解决遗留代码中的安全问题也就不足为奇了。围绕这一点,其中一项建议是自动“将遗留代码转换为内存安全代码,这将创建一个更安全的开源软件生态系统。” 受访者还认为,保护开源软件基础设施也很重要,尤其是要有一套政府规定的软件包存储库最佳实践,以确保持续的安全改进。其他建议包括将软件物料清单 (SBOM) 标准化作为“基本要求”,并制定流程以在构建过程中使用专门用于创建 SBOM 的工具。 开源软件的质量至关重要,尤其是在软件供应链中使用时。公共和私营部门都认识到,必须为开源软件安全打下坚实的基础,以防止出现像 Log4Shell 这样的情况,而 RFI 中的回复清楚地表明了开发人员认为需要什么才能创建必要的开源安全框架。 2. 维护开源软件社区和治理受访者明确表示,他们希望联邦政府在开源软件社区治理方面发挥带头作用。他们希望看到开源软件从个人志愿者维护模式转变为共享责任模式,并表示这种对开源生态系统的支持是维持和确保项目的最佳方式。 在开源社区中,人们呼吁提供专业培训机会,甚至可能向独立开源开发者支付报酬,从而实现更可持续、更一致的编码模型。一些受访者呼吁通过联邦开源计划办公室 (OSPO) 进行更严格的监督。根据GitHub的说法,OSPO 管理组织的开源运营,并“负责定义和实施战略和政策”。RFI 受访者认为,联邦 OSPO 将为整个生态系统带来政策的连续性。 3. 保护开源软件生态系统的行为和经济激励除了希望向独立开发者提供报酬外,受访者还希望更进一步,让联邦政府增加法律保护和治理结构,特别是针对关键基础设施中使用的软件。对开源项目的资助和监督应包括识别和修复软件中发现的漏洞。 合乎逻辑的下一步将是建立一个新的 NIST 框架,即负责任的开源软件消费框架,它可以独立存在,也可以纳入 NIST 现有的安全软件开发框架中。 推进开源软件安全现在 RFI 已经完成,下一步就是推进计划,提高联邦政府使用的所有技术的安全性。OS31 的行动项目将包括围绕开源软件安全性的高级研究和开发,以及解决 RFI 建议,例如安全软件包存储库、进一步开发 SBOM 以及与开源社区建立合作伙伴关系。 >>>网络安全等级保护<<< 网络安全等级保护:等级保护工作、分级保护工作、密码管理工作三者之间的关系 >>>数据安全系列<<< >>>错与罚<<< 一公司高管为泄愤攻击智慧停车收费系统,致上千家停车场无法自动抬杆 上海4人被判刑:5元掌握明星偶像行程?贩卖明星信息4人被判刑! 假期内,网络主播直播约架?郑州警方迅速控制,刑拘十人!网络空间不是法外之地! 网络水军团灭记:“转评赞”狂刷单 上百人“网络水军”团伙落网 北京多家公司因不履行网络安全保护义务被处罚!“两高一弱”仍然是安全隐患重点 >>>其他<<< |
|