亞馬遜、谷歌等發(fā)布開源軟件安全白皮書

發(fā)布時間：2024-12-26

近日，美政府與37家科技巨頭、開源社群召開開源軟件安全峰會，并發(fā)布《開源軟件安全動員計劃白皮書》。亞馬遜、谷歌、微軟、威睿、戴爾、英特爾等科技巨頭參加并承諾，在未來兩年內(nèi)，將投入1.5億元經(jīng)費解決相關問題。
對此，360天樞智庫高級研究員魏小強表示，該計劃標志著一個新的和關鍵的資源匯聚的開始，建立在開源軟件基礎上的知識、員工和資金充分融合，以進一步支持數(shù)字世界開源軟件安全的基礎設施。這件事給我國的啟示是，開源軟件安全已經(jīng)成為信息產(chǎn)業(yè)的重要的基礎設施，與任何公路或橋梁一樣重要，都需要長期進行有組織的維護。
事實上，開源軟件一直面臨安全風險。360方面曾指出，全球范圍內(nèi)90%以上的云服務器操作系統(tǒng)、80%以上的移動操作系統(tǒng)都基于開源軟件。但是由于開源軟件開發(fā)人員來自不同國家、不同背景，源代碼的查看、修改、增加權限較為開放，很容易被植入“后門”。甚至，業(yè)界對開源代碼很多是直接拿來使用，或只做些小修小補，因此很容易帶入未知的安全風險。
而我國銀行、能源、國防、醫(yī)療、電力等重要行業(yè)運行的系統(tǒng)，也大量使用開源軟件。如果被惡意利用，足以撼動我國關鍵信息基礎設施的安全。
因此，建設開源軟件安全生態(tài)勢在必行。“開源軟件安全是一個影響每個使用軟件的組織(包括政府和企業(yè))的問題。要解決如此復雜的問題，單獨依靠任何一方都顯得力不從心?！蔽盒姺Q。
而如何保持持久性則成為開源軟件安全生態(tài)建設的一大挑戰(zhàn)?！霸摪灼o我們的啟示是，依靠政府、安全公司、科技企業(yè)進行協(xié)作，從資金、人才和知識三個方面入手，建立一種長遠的社區(qū)激勵機制將具有重要意義?！蔽盒娬J為，具體建議包括建立開源軟件安全維護者社區(qū)，推動軟件安全教育，建立常用和重要的開源軟件組件清單并定期進行風險評估，對核心的開源安全組件采用數(shù)字簽名驗證等。
此外，最重要的一點是要激勵創(chuàng)新?！伴_源軟件安全問題，說到底還是一個價值創(chuàng)新問題?！蔽盒姳硎?，利用社區(qū)的力量有組織的構建開源安全社區(qū)生態(tài)，不斷激勵創(chuàng)新，把價值回歸到社區(qū)的貢獻者身上，才能持續(xù)的解決好軟件供應鏈安全問題。
推薦閱讀：
ebay 禁止在英國市場銷售一次性塑料制品
亞馬遜首家實體服裝店開業(yè)
舊的亞馬遜 kindle 電子閱讀器將不再能買書