作者 | 丁广辉 责编 | 张红月
出品 | CSDN（ID：CSDNnews）
过去几年中 ， 最令开发者和科技公司开心的事就是许多项目都在陆续开源 ， 而最令他们心烦的也是许多开源项目都或大或小地出现了漏洞 。 因此开源项目的安全问题成为了一个令人关注的话题 。
在近几年开源项目出现漏洞的事件中 ， 影响力较大 ， 破坏力较强的无疑就是在2021年发生的Apache Log4j漏洞事件 ， 这次漏洞涉及全球近一半的企业 ， 因其触发简单、攻击难度低、影响人群广泛等特点 ， 被许多媒体形容为“核弹级”漏洞 。 在国内专注于软件开发安全的奇安信代码卫士的《2021中国软件供应链安全分析报告》也指出 ， 现如今国内的软件项目中有80%-90%的代码都是来自开源项目 。 这也就意味着如果这些开源项目出现问题 ， 或将对全国大部分软件项目造成影响 。

文章图片

图片来源奇安信《2021中国软件供应链安全分析报告》
在全球大部分企业都在忙于修复该漏洞时 ， 美国国家安全顾问Jake Sullivan安排了一次美国白宫会议 。 此次会议要求被邀请的公司 ， 包括亚马逊、苹果、谷歌、IBM、微软和甲骨文 ， 共就如何提高开源项目的安全性分享彼此的想法 。
Google提出三项安全倡议
2022年的1月13日 ， 在本次会议上 ， 谷歌提出了三项加强国家网络安全的倡议 。 谷歌首席法务官沃克在一篇博文中表示 ， 开源软件与其他关键的基础设施一样 ， 需要获得更多的关注 。 长期以来 ， 开源软件由于是完全公开透明的 ， 所以一直被许多使用者的眼睛盯着 ， 并且在这个过程中发现和解决其中出现的问题 。 但事实上 ， 虽然有些开源项目确实有许多人关注 ， 但仍有部分项目根本没有足够的人在保护它的安全：比如仅仅只有三个人维护的Log4j 。
在被问到谷歌为解决这些问题所做的努力时 ， 沃克概述了谷歌在13日会议上提到的几种可能方法 。
1、建立一个明确的重要开源项目清单
2、建立有关安全、维护、来源以及测试的基础标准
3、建立一个维护者市场 ， 为有需要的开源项目匹配志愿者
即使这些想法并不新颖 ， 但确实是值得称赞的 。 谷歌的软件工程师已经在考虑为开源软件定义“关键性” ， 比如哪些开软项目使用者更多 ， 涉及的项目更广 ， 那么它产生错误所影响的范围也就更大 。 事实上 ， 已经有软件可以为其他软件生成临界点数了 。 点数越大的开源软件 ， 所受到来自安全方面的重视度就会越高 。
至于基础标准 ， 有消息称开源安全基金会已在着手准备 ， 而且他们还有像谷歌开发的软件工程供应链级别的框架支持 。
沃克还描述了一个将开源项目与公司雇用的志愿者联系起来的组织 ， 听起来像是开源可持续发展社区 ， 只不过不像GitHub有赞助商或Patreon有具体货币那样 。
开源安全需要所有人的力量
GitHub的首席安全官Mike Hanley对这个问题也发表了自己看法 。 他在一篇博文中表示 。 首先 ， 一定要有一个行业和社区联合起来的集体来确保软件供应链的安全 。 其次 ， 需要让开源维护者得到更好地支持 ， 使他们能更容易保护自己的项目 。
网络安全公司Luta Security的创始人Katie Moussouris在一次电话采访中表示 ， 谷歌作为仅有1%的维护开源安全的公司之一 ， 自愿在自己的产品安全和软件生态系统安全方面做出了很多相关工作 。 如果相关部门真的在乎开源代码的安全 ， 那么就要更加认真且脚踏实地为开源社区提供支持 ， 而不是像现在这样 ， 仅邀请少数人和企业来讨论对开源项目的维护工作 。