微信图片_20220523154032

美国联合 37 家科技巨头共同发布《开源软件安全动员计划白皮书》

  • 浏览次数 22020
  • 喜欢 0
  • 评分 12345

为解决开源软件安全这项特殊的挑战,近期,科技大厂、开源社群与美政府持续商讨,如今已有具体行动,在两次峰会举办之后,《开源软件安全动员计划白皮书》正式发布,首年投入经费将达6,840万美元,次年为7,950万美元。

面对开源软件安全的议题,全球都在关注,如今美国政府与科技巨头正积极采取行动,希望能改善相关风险。今年1月,美国白宫曾举行开源软件安全峰会,邀请多家科技巨头,商讨这个独特的安全挑战,近期,5月中旬二度举办开源软件安全峰会,这场会议,由Linux基金会与开源安全基金会(OpenSSF)召开,集结37家科技巨头的高层主管,以及美国白宫等多个联邦机关官员,共90人参会,这次会议不仅达成很多的共识,并具体指出将解决开源软件的十大挑战,同时这些科技巨头也承诺,在未来两年内,将投入1.5亿元经费解决相关问题。

值得一提的是,这次会议的召开时间可以说是别具意义,去年同一时间,美国总统拜登签署了一份改善国家网路安全的行政命令EO 14028中,就包括了提高开源软件供应链的安全。

参与这次会议的成员,来自多个重量级行业从业者,包括亚马逊、谷歌、微软、威睿、戴尔、英特尔、摩根大通、GitHub等,同时也有多个美国政府机关的官员出席,包括来自美国白宫、美国国家安全委员会(NSC)、美国网路安全及基础设施安全局(CISA)、美国国家标准暨技术研究院(NIST)、白宫网路主任办公室(ONCD)、能源部(DOE)与美国行销管理和预算局(OMB)的官员。这样的组合,其实也显现出开源社群、科技巨头,以及美国联邦政府之间加强合作的态势与重要性。

面对开源软件安全议题,聚焦解决10大问题

该如何改善开源软件安全?Linux基金会与开源安全基金会在收集多方意见后,现已发布首个广泛解决开源软件安全的计划项目,名为”开源软件安全动员计划”(The Open Source Software Security Mobilization Plan),当中最受关注的焦点就是,不仅详细说明解决开源软件的3大议题与10大问题,也公布解决各项问题将投入的经费。

基本上,在首次开源软件安全峰会上,当时讨论了3个主要目标,包括:首先,确保开源软件生产的安全,重点放在防止程式码与开放原始码套件(Open Source package)的缺陷与漏洞;其次,改善漏洞发现与修补;最后,缩短整个生态体系的修补应变时间。

如今,随着第二次开源软件安全峰会的召开,现已进一步总结出开源软件十大问题,分别是:(一)安全教育、(二)风险评估、(三)数位签章、(四)记忆体安全、(五)资安应变、(六)强化扫描能力、(七)程式码稽核、(八)资料分享、(九)软件物料清单SBOM,以及(十)供应链改善。

具体而言,以确保开源软件生产安全的目标而言,在安全教育面向,透过教育与认证让所有人提升安全软件开发的水准;在风险评估面向上,为最热门的1万个或更多开源软件元件建立一个公开、中立且基于客观指标的风险评估仪表板;在数位签章方面,加速软件发布采用数位签章;在记忆体安全方面,透过替换「不具记忆体安全(non-memory-safe)」的程式语言,来消除许多漏洞的根源。

针对改善漏洞发现与修补的目标而言,在网安应变方面,强调建立OpenSSF开源安全事件回应小组,网安专家可在应对漏洞了解关键时刻介入协助开源项目;在强化扫描能力面向,透过进阶的安全工具与专家指引,加速开源项目维护者与专家对新漏洞的发现;在程式码稽核方面,每年将针对两百多个关键的开源软件元件,进行一次第三方程式码审查以及必要的修补工作;在资料分享方面,将协调所有产业共享相关资料,帮助确定出最关键的开源软件元件并改善研究。

以缩短整个生态体系的修补应变时间的目标而言,在软件物料清单方面,将改善SBOM工具,并且推动这类工具的培训与采用;在供应链改善方面,将运用更好的供应链安全工具与最佳实践,来强化10个最关键的开源软件开发系统、套件管理器与部署系统。

特别的是,这次计划已确定改善这十大问题的投入经费,其中,对于「强化扫描能力」一项的首年投入金费最高,达1,500万美元,后续每年投入1,100万美元,「程式码稽核」的首年投入金额也达1,100万美元,后续每年将投入更多,达4,200万美元。

整体而言,为解决这十大问题,这项计划的首年投入经费将达到6,840万美元,次年将为7,950万美元。

目前,在这1.5亿美元的经费中,已由亚马逊、爱立信、谷歌、微软、威睿共同认捐超过3,000万美元,作为此计划的前期资金。

微信图片_20220523152849

微信图片_20220523152856

自今年一月白宫召开开源软件安全峰会后,近日Linux基金会与开源安全基金会(OpenSSF)二度召开此会议,同时发布了开源安全动员计划白皮书,具体商讨出强化开源软件安全需解决10大问题。

美国解决开源软件安全十大问题的经费配置

微信图片_20220523153002

Linux基金会,iThome整理,2022年5月

微信图片_20220523153044

在开源软件安全动员计划白皮书中,针对解决开源软件安全的10大问题,都提供了详细的说明。以第一项安全教育而言,当中指出,从历史上看,传统的软件工程课程很少关注、强调,或是通过良好的网络安全教育与安全Coding技术的重要性。因此,OpenSSF提出了以下多管齐下的方法来解决这个问题,包括:收集与策划内容、扩大培训,以及并奖励与激励开发者。同时,白皮书中也具体拟定出各项问题所需花费的预算。这十项内容均值得国内思考。


转自 E安全,原文链接:https://mp.weixin.qq.com/s/FGgMo_pk2GrFENBv-LfGIw

封面来源于网络,如有侵权请联系删除