谷歌出钱又出人，保护开源安全迫在眉睫

5 月 12 日，在美国白宫开源软件安全峰会上，谷歌与 Linux 基金会、开源软件安全基金会 (OpenSSF)以及其他行业领袖共同讨论了开源安全举措，并宣布成立“开源维护团队”。这是一个由开发人员组成的团队，他们将致力于确保上游开源项目的安全，从收紧配置到部署更新。

谷歌着眼于开源软件安全

本次峰会是 1 月份白宫举办的关于开源安全讨论会议的后续活动，与会者在会上讨论了开源软件在行业中的关键作用，以及如何更好地解决开源维护人员在提高项目安全性时所面临的挑战。其中，主要挑战之一是缺乏资金和人力资源来预防、发现和修复系统性安全漏洞。

“鉴于数字基础设施在我们生活中的重要性，是时候开始让我们用处理物理基础设施相同的方式来思考它了。开源软件是大部分网络世界的结缔组织——它值得我们为道路和桥梁提供同样的关注和资金。”谷歌全球事务总裁兼首席法律官 Kent Walker 在 1 月份的会议后表示。

新的开源维护团队的规模尚未公开，但考虑到 Google 可支配的资源数量，规模可能会相当可观，此外，团队选择维护哪些开源项目也将取决于许多因素。

在财务方面，谷歌去年承诺在未来五年内投入 100 亿美元，通过各种计划和举措帮助改善网络安全，其中包括 1 亿美元用于支持 OpenSSF 等组织。此外，谷歌还创建了 Open Source Insights 项目，该项目为所有开源包提供依赖关系图。

“该项目分析开源包并提供依赖关系及其属性的详细图表。有了这些信息，开发人员可以了解他们的软件是如何组合在一起的，以及他们依赖关系变化的后果——正如 Log4j 所示，当受影响的依赖关系在依赖关系图中有很多层时，这可能会很严重。”谷歌一篇博客中介绍道。

开源软件生态确立的十大目标

去年，拜登政府发布了一项行政命令，以提高软件供应链的安全性，而本次安全峰会距离拜登政府发布改善软件供应链安全的行政命令刚好一周年的时间。

Linux 基金会和 OpenSSF 在本次峰会上呼吁，在两年内提供 1.5 亿美元的资金来解决十个主要的开源安全问题。包括：

1. 安全教育：向所有人提供基线安全软件开发教育和认证。

2. 风险评估：为前 0,000 个或更多）OSS 组件建立一个公开的、供应商中立的、基于客观指标的风险评估仪表板。

3. 数字签名：加速在软件版本中采用数字签名。

4. 内存安全：通过替换非内存安全语言来消除许多漏洞的根本原因。

5. 事件响应：建立 OpenSSF 开源安全事件响应团队，安全专家可以在响应漏洞的关键时刻介入协助开源项目。

6. 更好的扫描：通过高级安全工具和专家指导，加速维护人员和专家发现新漏洞。

7. 代码审计：每年对多达 200 个最关键的 OSS 组件进行一次第三方代码审查（以及任何必要的补救工作）。

8. 数据共享：协调全行业的数据共享，以改进有助于确定最关键 OSS 组件的研究。

9. 软件物料清单 (SBOM)：持续改进无处不在的 SBOM 工具和培训以推动采用。

10. 改进的供应链：使用更好的供应链安全工具和最佳实践来增强 10 个最关键的开源软件构建系统、包管理器和分发系统。

关于 OpenSSF

开源软件安全基金会（OpenSSF）创立于 2020 年，旨在将广泛的社区领导者聚集到一起，建立具有针对性的计划和最佳实践，以提升开源软件的安全性。除谷歌之外，OpenSSF 的成员还包括 GitHub、Microsoft、Canonical、Cisco、Facebook、Intel、HP、腾讯、IBM、Red Hat、Samsung 等。

参考链接：

https://venturebeat.com/2022/05/12/google-open-source-maintenance-crew/?fr=operanews

https://duo.com/decipher/new-google-team-to-help-critical-open-source-projects-improve-security