Google和IBM在參加白宮關于開源安全問題的會議後,敦促科技組織聯合起來,确定關鍵的開源項目。這次會議由白宮網絡安全上司人Anne Neuberger上司,與會者包括Apache、Google、蘋果、亞馬遜、IBM、微軟、Meta、Linux和Oracle等組織的官員,以及國防部和網絡安全與基礎設施安全局(CISA)等政府機構。
這次會議是在各組織繼續解決Log4j漏洞的情況下召開的,該漏洞自12月被發現以來一直引起關注。
Google和Alphabet的全球事務總裁肯特-沃克說,鑒于數字基礎設施對世界的重要性,現在是時候開始用我們對待實體基礎設施的方式來考慮它了。
沃克說:"開源軟體是大部分網絡世界的連接配接組織--它應該得到我們對道路和橋梁的同樣關注和資助。"在一篇博文中,沃克解釋說,在會議期間,Google就如何在Log4j漏洞發生後繼續前進提出了幾個建議。沃克說,需要建立一個公私合作關系,以确定關鍵開源項目的清單,而關鍵性應根據項目的影響力和重要性來确定。該清單将幫助企業确定優先次序,并為最基本的安全評估和改進配置設定資源。
IBM的企業安全執行官傑米-托馬斯贊同沃克的意見,并表示白宮會議"明确了政府和行業可以共同改善開源的安全實踐"。
托馬斯說:"我們可以從鼓勵廣泛采用開放和合理的安全标準開始,确定應該滿足最嚴格的安全要求的關鍵開源資産,并促進國家合作,擴大開源安全的技能教育訓練和教育,獎勵在該領域取得重要進展的開發者。"沃克介紹了像OpenSSF這樣的組織的工作,此前Google向其投資了1億美元,這些組織已經在尋求建立這樣的标準。
他還說,Google提議成立一個組織,作為開源維護的市場,将企業的志願者與最需要支援的關鍵項目相比對。他指出,Google已經"準備好為此舉貢獻資源"。
博文指出,目前沒有官方的資源配置設定,也沒有什麼正式的要求或标準來維護關鍵開源代碼的安全。大多數維護和加強開放源代碼安全的工作,包括修複已知的漏洞,"都是在臨時的、自願的基礎上完成的"。
"長期以來,軟體界一直對這樣的假設感到欣慰,即由于開源軟體的透明度和'許多眼睛'都在注視着發現和解決問題,是以開源軟體一般是安全的。但事實上,雖然有些項目确實有很多眼睛在盯着它們,但其他項目卻很少或根本沒有,"沃克說。
阿帕奇軟體基金會的營銷副總裁Joe Brockmeier在一份聲明中說,要解決開源供應鍊固有的安全問題,将需要消費和運送開源軟體的公司群組織進行上遊合作。
科技巨頭Akamai也有代表參加了白宮會議,它支援Google和IBM建議的許多措施,并補充說,政府和技術界需要在發現漏洞時建立可靠的遏制計劃,在首次發現漏洞時改善跨政府和行業的資訊共享,并擴大政府對解決方案的授權以增加防禦能力。
Akamai首席安全官Boaz Gelbord表示,次會議的一個重要收獲是,大家都認識到需要做更多的工作來支援開源社群在不斷變化的威脅環境中成長。
"作為開源和開放标準的突出支援者,Akamai認為特别需要加強資訊共享、強大的漏洞管理和建立遏制計劃,以控制攻擊的爆炸半徑,"Gelbord說。"我們期待着擴大我們在開源社群的努力,并為這次白宮會議提出的重要的下一步措施做出貢獻"。
![小紮親自官宣Meta視覺大模型!自監督學習無需微調[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)