导读 2022年1月21日整理发布:在参加了最近的白宫开源软件安全峰会之后,谷歌现在呼吁建立公私合作伙伴关系,不仅为重要的开源项目提供资金,而
2022年1月21日整理发布:在参加了最近的白宫开源软件安全峰会之后,谷歌现在呼吁建立公私合作伙伴关系,不仅为重要的开源项目提供资金,而且为重要的开源项目提供人员。在一篇新的博客文章中,谷歌和 Alphabet 的全球事务总裁兼首席法务官 Kent Walker 阐述了这家搜索巨头更好地保护开源软件生态系统的计划。
长期以来,企业和政府对开源软件由于其透明性而通常是安全的假设感到欣慰。尽管许多人认为更多的关注可以帮助发现和解决开源社区中的问题,但有些项目实际上并没有太多关注,而其他项目则很少或根本没有关注。
值得称赞的是,谷歌一直在努力提高人们对开源安全状态的认识,该公司已投资数百万美元用于开发框架和新的保护工具。然而,Log4j 漏洞和之前的其他漏洞表明,整个生态系统需要做更多工作来开发新模型来维护和保护开源软件。
在他的博客文章中,Kent 建议建立一个新的公私合作伙伴关系,以确定关键开源项目的列表,以帮助确定优先级和分配资源以确保其安全。
但从长远来看,需要实施识别可能构成系统风险的开源软件和组件的新方法,以便可以预期所需的安全级别并提供适当的资源。
同时,需要在公共和私营部门建立安全、维护和测试基线。这将有助于确保国家基础设施和其他重要系统能够继续依赖开源项目。根据 Kent 的说法,这些标准还应通过“强调频繁更新、持续测试和验证完整性”的协作过程来开发。幸运的是,软件社区已经开始与OpenSFF等跨行业的组织合作创建这些标准。
既然谷歌已经在开源安全问题上发表意见,期待微软和苹果等其他科技巨头就此事提出自己的想法。
免责声明:本文由用户上传,如有侵权请联系删除!