2023年9月12日，美国网络安全与基础设施安全局（CISA）发布了一份开源软件安全路线图，旨在确保美国开源软件生态系统安全。该路线图列出了保护美国开源软件生态系统的4项目标：确立CISA在支持开源软件安全方面的作用；提高开源软件使用和风险的可见性；降低联邦政府的风险；强化开源生态系统。

该路线图与拜登政府《国家网络安全战略》保持一致，还概述了与开源软件社区合作、扩大与国际开源合作伙伴的合作以及开发开源软件风险优先级框架的目标。根据路线图，CISA计划对美国联邦政府和关键基础设施的开源项目进行风险评估和排序。

目标1：确立CISA在支持开源软件安全方面的作用

CISA必须与开源软件社区建立成熟的工作关系，以建立一个安全、有弹性的开源生态系统，以便识别和减少联邦政府和关键基础设施面临的风险。为此，CISA必须具备了解开源软件生态系统并与开源软件社区合作的能力。CISA意识到开源社区并非从零开始，而是已经开展了许多以安全为重点的活动，CISA努力与这些倡议保持一致并扩大其影响。

主要工作包括：与开源软件社区合作；鼓励开源软件实体采取集体行动；扩大与国际合作伙伴的接触与合作；组织CISA的开源软件工作。

目标2：提高开源软件使用和风险的可见性

要了解CISA能够在哪些方面为开源软件生态系统的安全提供最佳支持，我们必须了解联邦政府和关键基础设施的最大依赖性所在。为此，CISA将确定最常用于支持联邦政府和重要基础设施关键功能的开源软件库。CISA将利用这些信息来了解最大的风险所在，并优先采取减轻和降低这些风险的活动。

主要工作包括：了解开源软件的普及情况；制定开源软件风险优先排序框架；对联邦政府和关键基础设施中的开源软件项目进行风险优先排序；了解对关键开源软件依赖性的威胁。

目标3：降低联邦政府的风险

这一目标特别侧重于确保联邦政府使用开源软件。与负责任地使用开源软件的公司类似，联邦政府也必须建立流程来管理开源软件的使用，为开源软件做出贡献。

主要工作包括：评估有助于安全使用开源软件的解决方案；为联邦机构制定开源计划办公室指南；优先推动开源软件安全方面的联邦行动。

目标4：强化开源生态系统

认识到开源软件的公益性质及其对联邦政府和关键基础设施安全性和复原力的重要意义，CISA将推进、加固更广泛的开源软件生态系统的工作。这项工作将重点关注目标2中确定的对联邦政府和关键基础设施尤为重要的开源软件组件。

主要工作包括：继续在开源软件供应链内推进利用软件物料清单（SBOM）；加强开源开发人员的安全教育；发布开源软件安全使用最佳实践指南；促进开源软件漏洞披露和响应。

信息来源：

https://www.cisa.gov/resources-tools/resources/cisa-open-source-software-security-roadmap

https://www.cisa.gov/sites/default/files/2023-09/CISA-Open-Source-Software-Security-Roadmap-508c%20%281%29.pdf