美国政府发布开放源代码软件安全计划

关键要点

美国网络安全和基础设施安全局CISA发布了开放源代码软件的安全路线图。该计划旨在提升识别和修复高影响力漏洞的能力，尤其是如Log4j和MOVEit等案例。CISA计划建立与开放源代码社区更好的关系，并推动实时协作与共同作业。该计划将促进资源共享，增强对开源代码的可见性与监测。

近年来，像Log4j、Heartbleed以及其他开源漏洞对数字社会造成了巨大的影响，联邦政府终于制定了一项计划来应对这些问题。

周二，CISA发布了备受期待的开放源代码软件路线图，列出了多个任务和目标，美国官员希望通过这些措施能够更好地跟踪在商业和政府IT环境中使用的开源代码，并在发现广泛或针对性的漏洞时迅速采取行动。

如SC Media所报道，开放源代码库和库的维护主要依赖于一小群志愿者，他们负责维护和更新这些免费的代码，而这些代码在很多商业软件中默默运行。尽管像Google和Microsoft这样的大公司开始投入更多资金于识别和保护最常用的开源软件包，但这些努力往往仅占到漏洞攻击面的一小部分。

CISA的计划基本上支持这一大方向，致力于增强私营部门与政府之间的资源和协调，以产生更显著的影响。

该机构“认识到开源软件的巨大好处，强调其在软件领域的创新促进作用，同时也使得工作得以在‘加速’的节奏中进行。

“我们设想一个这样的世界：每个关键的开源软件项目既安全又可持续、具有弹性，并且有健康、多样、充满活力的社区支持。”该计划表示。“在这样的世界中，开放源代码开发者能够尽可能地确保他们的软件安全。”

路线图旨在应对Log4j和MOVEit黑客攻击中的漏洞

CISA主要关注两个绝非假设的情景：一是出现的恶意代码已成为多个不同商业程序和免费软件的组成部分；二是针对软件提供商的有意攻击以获取其客户IT环境的访问权限。

第一个情景描述了Log4j，这一Apache漏洞嵌入了全球成千上万的软件程序中。第二个情景与MOVEit黑客攻击相似。虽然该事件并非由开源漏洞引发，然而仍有大量较小规模的例子令CISA和其他防御者感到担忧。

CISA对这个主要由私营和志愿者主导的生态系统的监管权力有限，但它对联邦机构和关键基础设施的网络安全有监管职责，后者经常使用开源软件。

不出所料，该机构的首个目标是与开源社区建立更好的关系，以便在高影响力漏洞被恶意黑客或国家广泛利用之前，能够识别和修复这些漏洞。

该计划的发布恰逢开源安全基金会在华盛顿举办为期两天的峰会，邀请软件开发者、安全研究人员和美国政府官员聚集一堂，共同探讨如何在开源安全领域加强合作。

小牛加速器官网

CISA将与开源提供商、基金会、代码托管服务及社区的其他成员建立一个新的“实时协作中心”。特别的是，官员们希望复制在Log4j修复中发挥了重要作用的公私合营伙伴关系，政府与行业携手合作。他们还将设立一个开源安全工作组，以增强该机构内部的专业知识。

其次，该机构将创建一种新“能力”，以提供对联邦网络中存在的风险开源代码的更好可见性。Log4j或潜在的Kaspersky代码修复之所以复杂