美国联邦Cybersecurity & Infrastructure Security Agency (CISA)最近推出了一项增强开源软件 (OSS) 安全性的综合战略。这一举措是对乔·拜登总统 2021 年 5 月发布的行政命令的重要回应,该命令强调了网络安全的重要性并提出了加强网络安全的步骤。自该命令发布以来,在向企业实体提供有效指南以实现这些网络安全目标方面发生了重大变化。
新发布的路线图是CISA对加强这些网络安全措施(特别是 OSS 安全)的回应。
该机构认识到 OSS 在促进创新和促进软件开发流程方面的巨大潜力,并寻求在联邦政府内部和外部确保其安全实施和开发。
该路线图描绘了与开源软件相关的两种主要敏感性类型。一是广泛使用的 OSS 中的漏洞可能产生的连锁反应,例如 Log4Shell 事件,在 OSS 受到损害后观察到了广泛的有害影响。第二种类型包括对 OSS 存储库供应链的攻击,这可能会导致有害的下游影响,例如开发人员的帐户被泄露,从而使攻击者能够嵌入恶意代码。
该战略列出了四个主要优先事项,包括定义CISA在开源安全方面的支持作用、提高与 OSS 相关的利用和风险的可见性、减少联邦政府的风险以及加强开源生态系统。
CISA相信这些步骤将有助于实现其对开源软件的设想。该机构设想的 OSS 生态系统不仅是安全的,而且是可持续的和有弹性的,并以强大、多样化和充满活力的社区为基础。
供应链安全企业 Chainguard 的首席执行官兼联合创始人 Dan Lorenc 也表达了同样的观点。他赞扬CISA详细细分了该领域的挑战并确定了解决方案的优先顺序。他赞赏CISA认识到这项工作需要在“上游”进行,并且其员工应直接与相关社区接触。尽管他对这一点的实施表示了一些不确定性,但他仍保持乐观的看法。
洛伦茨建议政府应该考虑为开源项目提供资金——目前路线图中尚未解决这一问题。政府在财政上支持这些项目的能力可以极大地促进诸如增强内存安全、解决漏洞和改进 SBOM 工具等目标。
洛伦茨还提到,政府的合作模式应该超越被动管理,主动为这些措施的改进做出贡献。
AppMaster等平台严重依赖开源软件,结合了强大的安全性、灵活性和顶级的用户体验。他们表达了同样的担忧,并期待这一路线图的成功实施。
