美国 CISA 发布开源软件安全路线图

开源
根据 CISA 的说法,这将有助于实现其对开源软件的愿景,即 “每个关键的 OSS 项目不仅是安全的,而且是可持续的和有弹性的,并得到健康、多元化和充满活力的社区的支持。”

美国总统拜登曾于 2021 年 5 月签署了一项改善网络安全的行政命令。现在,美国联邦网络安全和基础设施安全局 (CISA) 正在这项工作的基础上制定专门用于保护开源软件 (OSS) 的新路线图

“CISA 认识到开源软件的巨大优势,它使软件开发人员能够加快工作速度并促进重大创新和协作。考虑到这些好处,本路线图列出了 CISA 将如何帮助实现联邦政府内部和外部 OSS 的安全使用和开发。”

根据介绍,该路线图定义了两种主要类型的开源漏洞。首先是广泛使用的开源软件的漏洞的连锁效应,它以 Log4Shell 为例,说明开源软件遭到破坏可能造成的广泛后果。其次是针对开源存储库的供应链攻击,可能会导致下游负面影响,例如开发人员的帐户被盗用以及攻击者利用它来提交恶意代码。

路线图列出了四个关键优先事项,包括:确立 CISA 在支持开源软件安全方面的作用、推动开源使用和风险的可见性、降低联邦政府的风险以及强化更广泛的开源生态系统。

根据 CISA 的说法,这将有助于实现其对开源软件的愿景,即 “每个关键的 OSS 项目不仅是安全的,而且是可持续的和有弹性的,并得到健康、多元化和充满活力的社区的支持。”

供应链安全公司 Chainguard 的联合创始人兼首席执行官 Dan Lorenc 认为,CISA 在细分该领域的问题,然后优先解决这些问题方面做得很好。他们很好地认识到了这项工作需要 “在上游进行,CISA 员工需要直接与社区接触”,不过他仍然对这项工作的具体进展持怀疑态度。

Lorenc 建议政府在实际资助开源项目方面做出一些努力,但目前的路线图根本没有提及这一点。

“政府在帮助直接代码或其他贡献方面并没有很好的声誉,但他们确实有能力帮助资助已经在进行的工作,以实现路线图中的许多项目,如内存安全、漏洞修复和 SBOM 工具。但这里的政府合作模式不能采取 you push, we’ll steer 的方式。”

责任编辑:武晓燕 来源: OSCHINA
相关推荐

2024-09-05 12:59:43

2011-09-19 13:31:04

2018-09-07 05:05:04

2012-02-08 09:49:02

惠普webOS开源

2009-03-16 08:39:57

Symbian开发平台开源

2009-03-16 11:03:53

Symbian开源开发平台

2019-06-28 10:37:59

腾讯开源路线图

2014-07-04 17:17:44

2010-12-31 10:05:22

Exchange

2020-11-12 19:15:54

Swift苹果开发

2013-09-09 13:41:12

Avaya软件定义数据中心数据中心架构

2010-01-15 19:37:04

BMCITILITSM

2011-11-24 09:07:35

云计算

2010-08-24 09:32:41

Windows PhoWindows Pho

2011-05-11 16:29:38

iOS

2021-07-02 15:58:41

勒索软件就绪评估RRA网络安全

2012-02-28 09:05:01

Flash

2012-02-22 16:44:44

Flash

2009-01-19 15:03:40

ASP.NET学习ASP.NET入门ASP.NET学习曲线

2010-11-04 15:15:06

点赞
收藏

51CTO技术栈公众号