在近日(美国当地时间 2022 年 1 月 13 日)于华盛顿举办的白宫开源安全峰会上,来自开源软件领域的科技巨头、开发人员们以及商业生态系统的重要伙伴,与美国联邦机构的领导人和专家们,共同就“开源软件供应链中存在的挑战以及如何降低风险和增强弹性”议题展开探讨。
作为 Linux 基金会与公共部门组织合作历史上的一个重要时刻,本次会议上, Linux 基金会和开源安全基金会(OpenSSF)代表数百个社区和项目,带来了他们在集体网络安全方面做所的努力,同时也分享了他们与公共及私营管理部门合作的契机。
会上,Linux 基金会执行董事 Jim Zemlin 表示:“对关键基础设施的保护措施包括保护运行其银行、能源、国防、医疗保健和技术系统的软件。当一个被广泛使用的开源组件或应用程序的安全性受到损害时,每个公司、每个国家乃至每个社区都会受到影响。这并非美政府独有的问题,而是全球性问题。我们赞赏政府在促进更加关注开源软件安全方面发挥的领导作用,并期待与全球生态系统合作取得进展。值得一提的是,OpenSSF 是我们应对开源软件供应链挑战的关键举措,我们的工作得到了会议上其他参与者的认可,并成为进一步合作的基础,这让人非常振奋。”
开源安全基金会执行董事 Brian Behlendorf 评论称:“在今天的会议上,我们分享了一系列关键的机会,在这些机会中,只要每个人都有足够的承诺,我们就可以对保护和改善我们软件供应链安全所需的关键努力产生实质性的影响。开源生态系统需要共同努力,进一步进行网络安全研究、培训、分析,并在修复关键开源软件项目中发现的缺陷。这些计划得到了积极的反馈,有越来越多的集体承诺采取有意义的行动。在最近的 Log4j 危机之后,公共和私人合作的时间比以往任何时候都更紧迫,以确保开源软件组件和它们所流经的软件供应链展示出最高的网络安全完整性。”
Brian 补充称:“通过我们最佳实践工作组、确定关键项目工作组、指标和记分卡、Sigstore 项目以及其他即将宣布的工作,OpenSSF 已对今天会议中讨论的许多关键领域产生了影响。我们已做好进一步努力的准备,并欢迎这次对话和进一步对话可能带来的所有新的参与者和资源。”
自从去年 12 月份 Log4j 曝出”惊天“漏洞以来,全球多个国家政府以及科技巨头纷纷对安全漏洞所带来的影响进行关注并反思,同时关于开源软件的安全性问题的探讨也变得越来越紧迫。
