趁着美国白宫于本周四(1/13)召开开源软件安全高峰会(White House Open Source Software Security Summit)的时机,Google首席法务官Kent Walker提议应该设立一个组织,作为开源的维护市场,负责撮合志愿者以及需要支持的重要开源项目。
开源的安全问题近来日趋受到重视,Linux基金会于2020年便成立了开源安全基金会(Open Source Security Foundation,OpenSSF),以支持关键开源项目的安全性,而最近开源Java组件Log4j所冒出的安全漏洞,进一步向全球披露开源软件安全性的重要。
Walker说,开源软件一直以来皆允许外界免费使用、变更或检查,因而促进了协作创新与新技术的开发,也让许多关键基础设施或国家安全系统都采用了开源软件,然而,它却缺乏官方的资源分配,对于如何维护重要程序代码的安全性,也没有正式的要求与标准。
自从开源流行以来,社群都习惯假设这些具备透明化、且获得众多关注的开源项目是安全的,但事实上只有部分项目受到社群与开发者的青睐,有些则几乎或完全被忽视。
这使得Walker萌生想法了多个提议来维护开源的安全性,而不管哪个提议都需要官方与产业之间的合作,其中包括设立一个开源维护市场,以撮合重要开源项目与负责维护的志工,同时Walker身先士卒地说,Google已准备好贡献自家资源。
Google其它的提议还包括产、官应该共同创建一个关键开源项目的列表,该列表的评估方式为开源项目的重要性与影响力,才能替各种项目分配安全性资源。另一个提议是打造开源安全性、维护与测试的标准,相关标准理应是协同开发的,也应定期更新、持续测试及验证它们的完整性。