近日,美政府与37家科技巨头、开源社群召开开源软件安全峰会,并发布《开源软件安全动员计划白皮书》。亚马逊、谷歌、微软、威睿、戴尔、英特尔等科技巨头参加并承诺,在未来两年内,将投入1.5亿元经费解决相关问题。
对此,360天枢智库高级研究员魏小强表示,该计划标志着一个新的和关键的资源汇聚的开始,建立在开源软件基础上的知识、员工和资金充分融合,以进一步支持数字世界开源软件安全的基础设施。这件事给我国的启示是,开源软件安全已经成为信息产业的重要的基础设施,与任何公路或桥梁一样重要,都需要长期进行有组织的维护。
事实上,开源软件一直面临安全风险。360方面曾指出,全球范围内90%以上的云服务器操作系统、80%以上的移动操作系统都基于开源软件。但是由于开源软件开发人员来自不同国家、不同背景,源代码的查看、修改、增加权限较为开放,很容易被植入“后门”。甚至,业界对开源代码很多是直接拿来使用,或只做些小修小补,因此很容易带入未知的安全风险。
而我国银行、能源、国防、医疗、电力等重要行业运行的系统,也大量使用开源软件。如果被恶意利用,足以撼动我国关键信息基础设施的安全。
因此,建设开源软件安全生态势在必行。“开源软件安全是一个影响每个使用软件的组织(包括政府和企业)的问题。要解决如此复杂的问题,单独依靠任何一方都显得力不从心。”魏小强称。
而如何保持持久性则成为开源软件安全生态建设的一大挑战。“该白皮书给我们的启示是,依靠政府、安全公司、科技企业进行协作,从资金、人才和知识三个方面入手,建立一种长远的社区激励机制将具有重要意义。”魏小强认为,具体建议包括建立开源软件安全维护者社区,推动软件安全教育,建立常用和重要的开源软件组件清单并定期进行风险评估,对核心的开源安全组件采用数字签名验证等。
此外,最重要的一点是要激励创新。“开源软件安全问题,说到底还是一个价值创新问题。”魏小强表示,利用社区的力量有组织的构建开源安全社区生态,不断激励创新,把价值回归到社区的贡献者身上,才能持续的解决好软件供应链安全问题。
推荐阅读:
