在近日(美國當地時間 2022 年 1 月 13 日)於華盛頓舉辦的白宮開源安全峰會上,來自開源軟體領域的科技巨頭、開發人員們以及商業生態系統的重要夥伴,與美國聯邦機構的領導人和專家們,共同就“開源軟體供應鏈中存在的挑戰以及如何降低風險和增強彈性”議題展開探討。
作為 Linux 基金會與公共部門組織合作歷史上的一個重要時刻,本次會議上, Linux 基金會和開源安全基金會(OpenSSF)代表數百個社群和專案,帶來了他們在集體網路安全方面做所的努力,同時也分享了他們與公共及私營管理部門合作的契機。
會上,Linux 基金會執行董事 Jim Zemlin 表示:“對關鍵基礎設施的保護措施包括保護執行其銀行、能源、國防、醫療保健和技術系統的軟體。當一個被廣泛使用的開源元件或應用程式的安全性受到損害時,每個公司、每個國家乃至每個社群都會受到影響。這並非美政府獨有的問題,而是全球性問題。我們讚賞政府在促進更加關注開源軟體安全方面發揮的領導作用,並期待與全球生態系統合作取得進展。值得一提的是,OpenSSF 是我們應對開源軟體供應鏈挑戰的關鍵舉措,我們的工作得到了會議上其他參與者的認可,併成為進一步合作的基礎,這讓人非常振奮。”
開源安全基金會執行董事 Brian Behlendorf 評論稱:“在今天的會議上,我們分享了一系列關鍵的機會,在這些機會中,只要每個人都有足夠的承諾,我們就可以對保護和改善我們軟體供應鏈安全所需的關鍵努力產生實質性的影響。開源生態系統需要共同努力,進一步進行網路安全研究、培訓、分析,並在修復關鍵開源軟體專案中發現的缺陷。這些計劃得到了積極的反饋,有越來越多的集體承諾採取有意義的行動。在最近的 Log4j 危機之後,公共和私人合作的時間比以往任何時候都更緊迫,以確保開源軟體元件和它們所流經的軟體供應鏈展示出最高的網路安全完整性。”
Brian 補充稱:“通過我們最佳實踐工作組、確定關鍵專案工作組、指標和記分卡、Sigstore 專案以及其他即將宣佈的工作,OpenSSF 已對今天會議中討論的許多關鍵領域產生了影響。我們已做好進一步努力的準備,並歡迎這次對話和進一步對話可能帶來的所有新的參與者和資源。”
自從去年 12 月份 Log4j 曝出”驚天“漏洞以來,全球多個國家政府以及科技巨頭紛紛對安全漏洞所帶來的影響進行關注並反思,同時關於開源軟體的安全性問題的探討也變得越來越緊迫。