Google呼籲政府參與和保護關鍵開源項目 避免Log4j漏

美國當地時間周四白宮舉辦的開源安全峰會之後，Google 呼籲政府更多地參與識别和保護關鍵的開源軟體項目。在峰會結束後不久發表的一篇博文中，Google 和 Alphabet 的全球事務總裁和首席法律官肯特·沃克（Kent Walker）說，政府和私營部門之間需要合作，以進行開源資金和管理。

沃克寫道：“我們需要公私合作，确定一份關鍵開源項目的清單--關鍵程度根據項目的影響力和重要性來确定--以幫助優先考慮和配置設定資源，用于最基本的安全評估和改進”。

該博文還呼籲增加公共和私人投資，以保持開源生态系統的安全，特别是當軟體被用于基礎設施項目時。在大多數情況下，此類項目的資金和審查是由私營部門進行的。

截至發稿時，白宮尚未對評論請求作出回應。

沃克寫道：“開放源碼軟體代碼是向公衆開放的，任何人都可以免費使用、修改或檢查......。這就是為什麼關鍵基礎設施和國家安全系統的許多方面都采用了它。但沒有官方的資源配置設定，也沒有什麼正式的要求或标準來維護該關鍵代碼的安全。事實上，大多數維護和加強開源安全的工作，包括修複已知的漏洞，都是在臨時的、自願的基礎上完成的”。

長期以來，開源開發的資金和資源短缺一直被作為一個安全問題提出來，在發現 Log4j Java 庫的一個嚴重漏洞後，這個問題再次成為一個關鍵問題，該漏洞迅速成為近年來最大的網絡安全漏洞。Log4j 庫也是主要由無償勞動開發和維護的。

當開源項目确實收到資金時，它通常來自私人來源，如個人捐款或科技公司的贊助。Google最近為安全開源（SOS）獎勵計劃提供了100萬美元，這是Linux基金會正在實施的一項試點計劃，旨在對緻力于改善開源項目安全的開發者進行經濟補償。