共计 1690 个字符,预计需要花费 5 分钟才能阅读完成。
多年来,平安专家和开发人员始终强调和预警,须要对形成互联网倒退重要撑持的开源我的项目提供更好的安全性和更强的反对,这些我的项目是有数商业应用程序和工具的要害组成部分。开源平安问题在近期 Log4J 破绽暴发和出名工具库 Faker.js 创建者 Marak 清空代码仓库等等事件下成为了焦点。
同时,开源平安问题也引起了各个国家政府和相干机构的关注。上周四,美国白宫举办了一场对于开源平安的探讨会议。在本次会议上来自谷歌、GitHub、苹果、Facebook 和其余组织的关键技术负责人等参加了如何进步开源软件的安全性的探讨,并提出倡议建设一个组织,去反对须要帮忙的开源我的项目,并为其提供匹配的志愿者这一解决方案。
简直所有专有的商业软件都包含开源组件或库,正如 Log4J 问题所证实的那样,一个宽泛应用的开源工具中的缺点可能会产生多层级联效应。有数的应用程序和工具中都应用了 Log4J,上个月浮出水面的近程代码执行破绽组的结果可能会在将来很多年里感触到。
许多技术供应商已通过诸如 OSTIF、谷歌 OSS-Fuzz 服务进行开源我的项目含糊测试、互联网破绽赏金等形式,投入资源来帮忙开源开发人员和保护人员评估和进步其代码的安全性。这些动作能够对开源我的项目产生重大影响,因为对于大多数开源开发人员来说,最大的阻碍可能是不足工夫和资源来辨认和修复平安问题。金钱能够提供帮忙,但须要与适合的人建立联系能力走的短暂,尤其是对于独自的开发人员或保护指定我的项目的小型团队而言。
在白宫会议期间,谷歌提议通过建设一个组织,帮忙志愿者与须要资源的开源我的项目进行匹配来解决这个问题。
“咱们曾经看到一两行易受攻击的代码如何对整个零碎的衰弱、平安和可信度产生微小影响。”
“许多当先的公司和组织没有意识到他们的要害基础设施有多少局部依赖于开源。这就是为什么咱们必须看到更多的公共和私人投资来放弃生态系统的衰弱和平安。在明天的探讨中,咱们提议建设一个组织作为开源保护市场,将来自公司的志愿者与最须要反对的要害我的项目相匹配。谷歌随时筹备为这项工作奉献资源,”谷歌寰球事务总裁兼首席法务官肯特·沃克 (Kent Walker) 示意。
“鉴于数字基础设施在咱们生存中的重要性,是时候开始以与咱们解决物理基础设施雷同的形式来思考它了。开源软件是大部分网络世界的结缔组织——它值得咱们为路线和桥梁提供同样的关注和资金。”
此外,另一个外围问题是,确定重要且宽泛应用的开源我的项目和工具,它们对保障国家平安也是至关重要的。OSSF 在 2020 年开发了一种办法来评估我的项目的关键性,该办法基于许多参数,例如我的项目的年龄、贡献者的数量、这些贡献者所属的组织数量以及其余因素。但这只是一种办法,某些人认为要害的办法可能不适宜其他人。三个月前,Log4J 可能还没有被视为一个要害我的项目,但当初很少有人会拥护这一说法。
“咱们曾经看到,一两行易受攻击的代码如何在眨眼间对整个零碎的衰弱、平安和可信度产生微小影响。尽管这不是一个新问题,正如咱们在 Heartbleed 中看到的那样,但最近的事件进一步强调了科技行业能够联结起来提供帮忙的两种形式。首先,必须有行业和社区的个体致力来爱护软件供应链。其次,咱们须要更好地反对开源维护者,让他们更容易爱护本人的我的项目,”GitHub 首席平安官 Mike Hanley 说。
与谷歌一样,GitHub 也投入了资金和其余资源来进步开源生态系统的安全性,例如为开发人员提供收费的平安培训,并启动一项容许公司资助他们应用的开源我的项目的打算。该公司还打算在往年晚些时候启动一项打算,容许平安钻研人员私下分割保护人员以披露平安问题。
早前,Github 首席平安官 Mike Hanley 在博客上写道,凋谢软件被宽泛应用,但在向开发人员提供的资源方面依然不足反对。
英文链接:
https://duo.com/decipher/tech…
腾源会(WeOpen)是腾讯云成立的汇聚开源我的项目、开源爱好者、开源领导者的凋谢社区,致力于帮忙开源我的项目健康成长、开源爱好者能交换帮助、开源领导者能施展首领价值,让寰球开源生态变得更加凋敝。
