Google呼吁政府参与和保护关键开源项目 避免Log4j漏洞重演
美国当地时间周四白宫举办的开源安全峰会之后,Google 呼吁政府更多地参与识别和保护关键的开源软件项目。在峰会结束后不久发表的一篇博文中,Google 和 Alphabet 的全球事务总裁和首席法律官肯特·沃克(Kent Walker)说,政府和私营部门之间需要合作,以进行开源资金和管理。
沃克写道:“我们需要公私合作,确定一份关键开源项目的清单--关键程度根据项目的影响力和重要性来确定--以帮助优先考虑和分配资源,用于最基本的安全评估和改进”。
该博文还呼吁增加公共和私人投资,以保持开源生态系统的安全,特别是当软件被用于基础设施项目时。在大多数情况下,此类项目的资金和审查是由私营部门进行的。
截至发稿时,白宫尚未对评论请求作出回应。
沃克写道:“开放源码软件代码是向公众开放的,任何人都可以免费使用、修改或检查......。这就是为什么关键基础设施和国家安全系统的许多方面都采用了它。但没有官方的资源分配,也没有什么正式的要求或标准来维护该关键代码的安全。事实上,大多数维护和加强开源安全的工作,包括修复已知的漏洞,都是在临时的、自愿的基础上完成的”。
长期以来,开源开发的资金和资源短缺一直被作为一个安全问题提出来,在发现 Log4j Java 库的一个严重漏洞后,这个问题再次成为一个关键问题,该漏洞迅速成为近年来最大的网络安全漏洞。Log4j 库也是主要由无偿劳动开发和维护的。
当开源项目确实收到资金时,它通常来自私人来源,如个人捐款或科技公司的赞助。Google最近为安全开源(SOS)奖励计划提供了100万美元,这是Linux基金会正在实施的一项试点计划,旨在对致力于改善开源项目安全的开发者进行经济补偿。