美国总统拜登曾于 2021 年 5 月签署了一项改善网络安全的行政命令。现在,美国联邦网络安全和基础设施安全局 (CISA) 正在这项工作的基础上制定专门用于保护开源软件 (OSS) 的新路线图。
“CISA 认识到开源软件的巨大优势,它使软件开发人员能够加快工作速度并促进重大创新和协作。考虑到这些好处,本路线图列出了 CISA 将如何帮助实现联邦政府内部和外部 OSS 的安全使用和开发。”
根据介绍,该路线图定义了两种主要类型的开源漏洞。首先是广泛使用的开源软件的漏洞的连锁效应,它以 Log4Shell 为例,说明开源软件遭到破坏可能造成的广泛后果。其次是针对开源存储库的供应链攻击,可能会导致下游负面影响,例如开发人员的帐户被盗用以及攻击者利用它来提交恶意代码。
路线图列出了四个关键优先事项,包括:确立 CISA 在支持开源软件安全方面的作用、推动开源使用和风险的可见性、降低联邦政府的风险以及强化更广泛的开源生态系统。
根据 CISA 的说法,这将有助于实现其对开源软件的愿景,即 “每个关键的 OSS 项目不仅是安全的,而且是可持续的和有弹性的,并得到健康、多元化和充满活力的社区的支持。”
供应链安全公司 Chainguard 的联合创始人兼首席执行官 Dan Lorenc 认为,CISA 在细分该领域的问题,然后优先解决这些问题方面做得很好。他们很好地认识到了这项工作需要 “在上游进行,CISA 员工需要直接与社区接触”,不过他仍然对这项工作的具体进展持怀疑态度。
Lorenc 建议政府在实际资助开源项目方面做出一些努力,但目前的路线图根本没有提及这一点。
“政府在帮助直接代码或其他贡献方面并没有很好的声誉,但他们确实有能力帮助资助已经在进行的工作,以实现路线图中的许多项目,如内存安全、漏洞修复和 SBOM 工具。但这里的政府合作模式不能采取 you push, we’ll steer 的方式。”