近日，美政府与37家科技巨头、开源社群召开开源软件安全峰会，并发布《开源软件安全动员计划白皮书》。亚马逊、谷歌、微软、威睿、戴尔、英特尔等科技巨头参加并承诺，在未来两年内，将投入1.5亿元经费解决相关问题。

对此，360天枢智库高级研究员魏小强表示，该计划标志着一个新的和关键的资源汇聚的开始，建立在开源软件基础上的知识、员工和资金充分融合，以进一步支持数字世界开源软件安全的基础设施。这件事给我国的启示是，开源软件安全已经成为信息产业的重要的基础设施，与任何公路或桥梁一样重要，都需要长期进行有组织的维护。

事实上，开源软件一直面临安全风险。360方面曾指出，全球范围内90%以上的云服务器操作系统、80%以上的移动操作系统都基于开源软件。但是由于开源软件开发人员来自不同国家、不同背景，源代码的查看、修改、增加权限较为开放，很容易被植入“后门”。甚至，业界对开源代码很多是直接拿来使用，或只做些小修小补，因此很容易带入未知的安全风险。

而我国银行、能源、国防、医疗、电力等重要行业运行的系统，也大量使用开源软件。如果被恶意利用，足以撼动我国关键信息基础设施的安全。

因此，建设开源软件安全生态势在必行。“开源软件安全是一个影响每个使用软件的组织(包括政府和企业)的问题。要解决如此复杂的问题，单独依靠任何一方都显得力不从心。”魏小强称。

而如何保持持久性则成为开源软件安全生态建设的一大挑战。“该白皮书给我们的启示是，依靠政府、安全公司、科技企业进行协作，从资金、人才和知识三个方面入手，建立一种长远的社区激励机制将具有重要意义。”魏小强认为，具体建议包括建立开源软件安全维护者社区，推动软件安全教育，建立常用和重要的开源软件组件清单并定期进行风险评估，对核心的开源安全组件采用数字签名验证等。

此外，最重要的一点是要激励创新。“开源软件安全问题，说到底还是一个价值创新问题。”魏小强表示，利用社区的力量有组织的构建开源安全社区生态，不断激励创新，把价值回归到社区的贡献者身上，才能持续的解决好软件供应链安全问题。

推荐阅读：

eBay 禁止在英国市场销售一次性塑料制品

亚马逊首家实体服装店开业

旧的亚马逊 Kindle 电子阅读器将不再能买书