Google呼吁政府参与和保护关键开源项目 避免Log4j漏洞重演

2022年01月14日 07:59 次阅读 稿源:cnBeta.COM 条评论

美国当地时间周四白宫举办的开源安全峰会之后,Google 呼吁政府更多地参与识别和保护关键的开源软件项目。在峰会结束后不久发表的一篇博文中,Google 和 Alphabet 的全球事务总裁和首席法律官肯特·沃克(Kent Walker)说,政府和私营部门之间需要合作,以进行开源资金和管理。

访问:

阿里云服务器精选特惠:1核1G云服务器低至0.9元/月

kw8ribgu.webp

沃克写道:“我们需要公私合作,确定一份关键开源项目的清单--关键程度根据项目的影响力和重要性来确定--以帮助优先考虑和分配资源,用于最基本的安全评估和改进”。

该博文还呼吁增加公共和私人投资,以保持开源生态系统的安全,特别是当软件被用于基础设施项目时。在大多数情况下,此类项目的资金和审查是由私营部门进行的。

截至发稿时,白宫尚未对评论请求作出回应。

沃克写道:“开放源码软件代码是向公众开放的,任何人都可以免费使用、修改或检查......。这就是为什么关键基础设施和国家安全系统的许多方面都采用了它。但没有官方的资源分配,也没有什么正式的要求或标准来维护该关键代码的安全。事实上,大多数维护和加强开源安全的工作,包括修复已知的漏洞,都是在临时的、自愿的基础上完成的”。

长期以来,开源开发的资金和资源短缺一直被作为一个安全问题提出来,在发现 Log4j Java 库的一个严重漏洞后,这个问题再次成为一个关键问题,该漏洞迅速成为近年来最大的网络安全漏洞。Log4j 库也是主要由无偿劳动开发和维护的。

当开源项目确实收到资金时,它通常来自私人来源,如个人捐款或科技公司的赞助。Google最近为安全开源(SOS)奖励计划提供了100万美元,这是Linux基金会正在实施的一项试点计划,旨在对致力于改善开源项目安全的开发者进行经济补偿。

对文章打分

Google呼吁政府参与和保护关键开源项目 避免Log4j漏洞重演

9 (82%)
已有 条意见

    最新资讯

    加载中...

    今日最热

    加载中...

    热门评论

      Top 10

      招聘


      Advertisment ad adsense googles cpro.baidu.com
      created by ceallan