近日,美政府與37家科技巨頭、開源社群召開開源軟件安全峰會,并發(fā)布《開源軟件安全動員計劃白皮書》。亞馬遜、谷歌、微軟、威睿、戴爾、英特爾等科技巨頭參加并承諾,在未來兩年內(nèi),將投入1.5億元經(jīng)費解決相關問題。
對此,360天樞智庫高級研究員魏小強表示,該計劃標志著一個新的和關鍵的資源匯聚的開始,建立在開源軟件基礎上的知識、員工和資金充分融合,以進一步支持數(shù)字世界開源軟件安全的基礎設施。這件事給我國的啟示是,開源軟件安全已經(jīng)成為信息產(chǎn)業(yè)的重要的基礎設施,與任何公路或橋梁一樣重要,都需要長期進行有組織的維護。
事實上,開源軟件一直面臨安全風險。360方面曾指出,全球范圍內(nèi)90%以上的云服務器操作系統(tǒng)、80%以上的移動操作系統(tǒng)都基于開源軟件。但是由于開源軟件開發(fā)人員來自不同國家、不同背景,源代碼的查看、修改、增加權限較為開放,很容易被植入“后門”。甚至,業(yè)界對開源代碼很多是直接拿來使用,或只做些小修小補,因此很容易帶入未知的安全風險。
而我國銀行、能源、國防、醫(yī)療、電力等重要行業(yè)運行的系統(tǒng),也大量使用開源軟件。如果被惡意利用,足以撼動我國關鍵信息基礎設施的安全。
因此,建設開源軟件安全生態(tài)勢在必行。“開源軟件安全是一個影響每個使用軟件的組織(包括政府和企業(yè))的問題。要解決如此復雜的問題,單獨依靠任何一方都顯得力不從心?!蔽盒姺Q。
而如何保持持久性則成為開源軟件安全生態(tài)建設的一大挑戰(zhàn)?!霸摪灼o我們的啟示是,依靠政府、安全公司、科技企業(yè)進行協(xié)作,從資金、人才和知識三個方面入手,建立一種長遠的社區(qū)激勵機制將具有重要意義?!蔽盒娬J為,具體建議包括建立開源軟件安全維護者社區(qū),推動軟件安全教育,建立常用和重要的開源軟件組件清單并定期進行風險評估,對核心的開源安全組件采用數(shù)字簽名驗證等。
此外,最重要的一點是要激勵創(chuàng)新?!伴_源軟件安全問題,說到底還是一個價值創(chuàng)新問題?!蔽盒姳硎?,利用社區(qū)的力量有組織的構建開源安全社區(qū)生態(tài),不斷激勵創(chuàng)新,把價值回歸到社區(qū)的貢獻者身上,才能持續(xù)的解決好軟件供應鏈安全問題。
推薦閱讀:
ebay 禁止在英國市場銷售一次性塑料制品
亞馬遜首家實體服裝店開業(yè)
舊的亞馬遜 kindle 電子閱讀器將不再能買書