为了提高开源软件安全性,Mozilla公司建立了开源基金来帮助开发人员对程序进行安全审计,初始资金为50万美元。
这个新的安全开源基金(Secure Open Source Fund)是Mozilla开源支持项目的一部分,该项目于2015年10月成立。Mozilla公司公共政策负责人Chris Riley在博客中表示Mozilla安全开源基金将会为某些广泛使用的开源库和程序的关键开源软件项目提供安全审计、修复和验证。
“但我们希望这只是一个开始。我们想要看到很多使用开源软件的公司和政府加入我们的行列,提供更多的资金支持。我们希望这些开源的受益人可以展望未来,帮助保护互联网,”Riley写道,“安全是一个过程,为了取得长远效益,我们必须投资于教育、最佳实践以及其他主要领域。我们希望这个基金将提供了一个短期效益,并推动整个行业帮助加强开源项目。”
该计划包括Mozilla签订合同并向审计其他项目代码的专业安全公司支付费用、与项目维护者合作以支持和修复漏洞,以及管理信息披露,并支持修复工作以确保被发现的漏洞都得到修复。
Riley写道,Mozilla想要避免下一个Heartbleed或Shellshock漏洞,并且已经对这个漏洞修复过程进行了测试,发现并修复了三款开源软件中的43个漏洞。
专家非常看好安全开源基金。
华盛顿国际战略研究中心战略技术项目主管兼高级副总裁James Lewis表示,这种做法很有价值,因为我们依赖的很多代码都在使用开源软件。
“这些开源代码嵌入在商业产品中,并支持着关键的互联网运作。而在修复和更新方面,开源软件经常被忽视,”Lewis写道,“所有软件都有可利用的漏洞,这是编码的本质。这些漏洞可能被用于犯罪和攻击。Mozilla的安全开源基金填补了这个网络安全鸿沟,他们建立激励机制来发现开源中的漏洞并让人们修复这些漏洞。”
SurfWatch实验室首席安全战略家Adam Meyer表示:如果正确顺利的话,“这个新的安全开源基金将会增加软件供应链的信任度水平,并降低风险”。
Meyer表示:“无论企业是否了解,他们很大程度上都在依赖开源码库。大量供应商整合开源应用到自己的产品线中,这意味着很多关键产品可能都在依靠着支持松散的开源应用。Heartbleed就是很好的例子。”