谷歌已要求美国政府采取更积极主动的方式来识别和保护对互联网安全至关重要的开源网络安全工具。
该公司周四在白宫 Log4j 漏洞峰会后发表的博客文章指出,该国需要公私合作伙伴关系来建立这样的计划。
谷歌和 Alphabet 的首席法务官肯特·沃克 (Kent Walker) 表示:“我们需要公私合作伙伴关系来确定关键开源项目的清单——关键程度取决于项目的影响力和重要性——以帮助确定优先级和分配资源进行最重要的安全评估和改进。”
谷歌呼吁政府帮助更安全的开源项目
该帖子强调需要更多的公共和私人投资来保护开源环境,特别是在基础设施项目中使用软件时。 总体而言,私营部门管理这些举措的资金和评估。
“开源软件代码向公众开放,任何人都可以免费使用、修改或检查……这就是为什么关键基础设施和国家安全系统的许多方面都包含它的原因,”沃克写道。 “但是没有官方的资源分配,也没有维护关键代码安全的正式要求或标准。 事实上,维护和增强开源安全性的大部分工作,包括修复已知漏洞,都是在临时的、自愿的基础上完成的。”
在发现 Log4j Java 库中的一个重大缺陷(迅速成为近年来最严重的网络安全漏洞)之后,人们长期以来一直担心开源开发缺乏资金和技术资源。 Log4j 库也主要由志愿者工作开发和维护。
也可以看看:
谷歌在推出仅三个月后就关闭了 Museletter 项目
谷歌在推出仅三个月后就关闭了 Museletter 项目
私人来源,例如个人捐赠或企业赞助,负责大部分开源项目的资金。 谷歌已向安全开源 (SOS) 奖励计划捐款 100 万美元,这是一个由 Linux 基金会运营的试点项目,旨在从经济上奖励致力于加强开源项目安全性的开发人员。