战略与政策

美国白宫讨论开源软件安全问题

日期:2022-02-16

|  来源:【字号:

包括国家安全机构使用的软件在内的多数软件包都包含开源软件。由于被广泛使用,且负责持续安全维护的志愿者人数众多,开源软件在带来独特价值的同时,也面临独特的安全挑战。2021年底,Log4j开源软件漏洞席卷全球。2022113日,美国白宫召集了政府和私营部门的利益相关者进行座谈,探讨提高开源软件安全性的举措,以及可迅速推进的新合作方式。

与会者就如何既有效参与和支持开源社区,同时又能改善开源软件的安全性进行了实质性和建设性的讨论。讨论集中在三个方面:防止代码和开源包中的安全缺陷和漏洞,改进查找和修复缺陷的过程,以及缩短分发并完成修复的响应时间。在第一类问题中,与会者讨论了如何将安全特性集成到开发工具中,并保护用于构建、存储和分发代码的基础设施,使开发人员更容易编写安全代码,如使用代码签名或者更强的数字身份等。针对第二类问题,与会者讨论了如何确定最重要的开源项目的优先次序,并建立了维护这些项目的可持续机制。最后,与会者讨论了如何按照拜登总统20215月发布的关于网络安全的行政命令的要求,加速和改进软件物料清单(Software Bills of Material)的使用,以更容易地了解购买和使用软件的具体情况。

会议参与者包括负责网络和新兴技术的国家安全副顾问Anne Neuberger、国家网络总监Chris Inglis,以及来自国家网络总监办公室、科技政策办公室、国防部、商务部、能源部、国土安全部、网络安全与基础设施安全局(CISA)、国家标准与技术研究院和国家科学基金会的官员。

受邀出席的企业包括:阿卡迈(Akamai)、亚马逊、Apache软件基金会、苹果、云火炬(Cloudflare)、元宇宙(Meta)、GitHub、谷歌、IBMLinux基金会、开源基金会、微软、甲骨文、红帽(RedHat)和威睿(VMWare)等头部企业。

所有参与者将在未来几周继续讨论如何支持这些举措,所有感兴趣的公共和私营利益相关方均可参加。

信息来源:

https://www.whitehouse.gov/briefing-room/statements-releases/2022/01/13/readout-of-white-house-meeting-on-software-security/

附件: