信息來源:安全內(nèi)參
Linux基金會(huì)和開源安全基金會(huì)提出了一項(xiàng)為期兩年的近1.5億美元的投資計(jì)劃,以加強(qiáng)美國的開源安全。該計(jì)劃于當(dāng)?shù)貢r(shí)間5月12日在華盛頓特區(qū)舉行的開源軟件安全峰會(huì)II上宣布。來自37家公司的90名高管參加了此次活動(dòng),他們代表了開源開發(fā)者和商業(yè)生態(tài)系統(tǒng)的各個(gè)領(lǐng)域。與會(huì)者還包括來自聯(lián)邦機(jī)構(gòu)的高管,包括國家安全委員會(huì)、網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局、國家標(biāo)準(zhǔn)與技術(shù)研究所、美國能源部以及管理和預(yù)算辦公室。
“我們在這里以一個(gè)可行的計(jì)劃做出回應(yīng),因?yàn)殚_源是我們國家安全的一個(gè)關(guān)鍵組成部分,它是當(dāng)今軟件創(chuàng)新投資數(shù)十億美元的基礎(chǔ)。我們有共同的義務(wù)來升級我們的集體網(wǎng)絡(luò)安全,Linux基金會(huì)執(zhí)行董事吉姆·澤姆林 (Jim Zemlin) 在峰會(huì)上表示,該峰會(huì)是在喬·拜登總統(tǒng)執(zhí)政一周年之際舉行的。
OpenSSF的總經(jīng)理Behlendorf說:“這是一個(gè)有望覆蓋我們確定的1.5億美元的更大基金的開始。” “現(xiàn)在隨著計(jì)劃的發(fā)展,隨著我們找到節(jié)省資金的方法,隨著我們根據(jù)可用資金調(diào)整目標(biāo),我們將根據(jù)機(jī)會(huì)調(diào)整規(guī)模?!?
IBM系統(tǒng)戰(zhàn)略和開發(fā)總經(jīng)理Jamie Thomas說:“我認(rèn)為這確實(shí)可以確保我們都了解開源的重要性、它使我們變得多么高效以及我們有義務(wù)考慮使用它的影響?!?
亞馬遜、愛立信、谷歌、英特爾、微軟和 VMWare 已經(jīng)承諾提供3000萬美元。更多的已經(jīng)在路上。亞馬遜網(wǎng)絡(luò)服務(wù) (AWS) 已經(jīng)承諾追加1000萬美元。
上一屆開源軟件安全峰會(huì)于2022年1月13日舉行,由白宮國家安全委員會(huì)牽頭。當(dāng)時(shí)在白宮新聞發(fā)布會(huì)上,OpenSSF總經(jīng)理布賴恩·貝倫多夫(Brian Behlendorf)說:“我想明確一點(diǎn):我們不是來這里從政府那里籌集資金的。我們沒有預(yù)料到需要直接去政府為任何人獲得資金。”
確立的十大目標(biāo)
以下是開源行業(yè)致力于實(shí)現(xiàn)的十個(gè)目標(biāo)。
1、安全教育:向所有人提供基線安全軟件開發(fā)教育和認(rèn)證。
2、風(fēng)險(xiǎn)評估:為前0,000 個(gè)或更多)OSS 組件建立一個(gè)公開的、供應(yīng)商中立的、基于客觀指標(biāo)的風(fēng)險(xiǎn)評估儀表板。
3、數(shù)字簽名:加速在軟件版本中采用數(shù)字簽名。
4、內(nèi)存安全:通過替換非內(nèi)存安全語言來消除許多漏洞的根本原因。
5、事件響應(yīng):建立OpenSSF開源安全事件響應(yīng)團(tuán)隊(duì),安全專家可以在響應(yīng)漏洞的關(guān)鍵時(shí)刻介入?yún)f(xié)助開源項(xiàng)目。
6、更好的掃描:通過高級安全工具和專家指導(dǎo),加速維護(hù)人員和專家發(fā)現(xiàn)新漏洞。
7、代碼審計(jì):每年對多達(dá)200個(gè)最關(guān)鍵的OSS組件進(jìn)行一次第三方代碼審查(以及任何必要的補(bǔ)救工作)。
8、數(shù)據(jù)共享:協(xié)調(diào)全行業(yè)的數(shù)據(jù)共享,以改進(jìn)有助于確定最關(guān)鍵OSS組件的研究。
9、軟件物料清單 (SBOM):持續(xù)改進(jìn)無處不在的SBOM工具和培訓(xùn)以推動(dòng)采用。
10、改進(jìn)的供應(yīng)鏈:使用更好的供應(yīng)鏈安全工具和最佳實(shí)踐來增強(qiáng)10個(gè)最關(guān)鍵的開源軟件構(gòu)建系統(tǒng)、包管理器和分發(fā)系統(tǒng)。
乍一看,這也是一項(xiàng)艱巨的任務(wù)。例如,作為所有開源項(xiàng)目中最重要的Linux 內(nèi)核核心的C語言存在許多漏洞。雖然內(nèi)存安全的Rust語言現(xiàn)在正在Linux中使用,但要在Linux超過2780萬行代碼中取代 C語言還需要幾年甚至幾十年的時(shí)間。事實(shí)上,很難確定是否會(huì)看到所有Linux的C代碼都被Rust取代。
開源安全公司Chainguard呼吁軟件行業(yè)對Sigstore進(jìn)行標(biāo)準(zhǔn)化。Sigstore使開發(fā)人員能夠安全地簽署軟件工件,例如發(fā)布文件、容器映像、二進(jìn)制文件、物料清單清單。這個(gè)Linux 基金會(huì)項(xiàng)目得到了谷歌、紅帽和普渡大學(xué)的支持。
投資計(jì)劃
Linux基金會(huì)和OpenSSF已經(jīng)為1.5億美元確定了10個(gè)投資流,將在兩年內(nèi)分?jǐn)偂?
*數(shù)字簽名將在第一年之后獲得一次性1000萬美元的投資推動(dòng)。
根據(jù)OpenSSF執(zhí)行董事布賴恩·貝倫多夫 (Brian Behlendorf) 的說法,該計(jì)劃是“匯集一系列關(guān)于那里出現(xiàn)的問題以及我們可以采取哪些措施來解決問題的想法和原則”。他補(bǔ)充說,確定的10個(gè)投資領(lǐng)域代表了“地面上的10面旗幟,作為開始的基礎(chǔ)”。
峰會(huì)“致力于制定更廣泛的社區(qū)可以采用的行動(dòng)計(jì)劃,其中包括10個(gè)專注于加強(qiáng)軟件供應(yīng)鏈的開源活動(dòng)流的綜合投資組合,”軟件供應(yīng)鏈平臺,DevOps公司JFrog開發(fā)人員關(guān)系副總裁Stephen Chin受邀參加峰會(huì)。Chin表示,雖然開源一直被視為現(xiàn)代化的種子,但最近軟件供應(yīng)鏈攻擊的興起表明,需要一個(gè)更強(qiáng)化的流程來驗(yàn)證開源——源存儲庫。
“我們相信,只有為OSS項(xiàng)目提供與企業(yè)可用的相同工具和服務(wù),開源安全才會(huì)成功。對開源項(xiàng)目的自動(dòng)化工具和高質(zhì)量安全數(shù)據(jù)庫的訪問至關(guān)重要,”他補(bǔ)充道。
無處不在的SBOM是重中之重
在過去一年中獲得突出的投資流之一是軟件材料清單或SBOM。該計(jì)劃詳細(xì)說明了第一年在該領(lǐng)域的320萬美元投資,而后一年的金額尚未確定。
在峰會(huì)上宣布的計(jì)劃承認(rèn),企業(yè)通常沒有他們部署的軟件資產(chǎn)的清單,也沒有關(guān)于他們所獲得的軟件中的組件的數(shù)據(jù)。當(dāng)他們考慮購買新軟件時(shí),企業(yè)通常無法衡量其組件包含的風(fēng)險(xiǎn),包括已知漏洞。
“SBOM是為開源供應(yīng)鏈漏洞提供透明度的最關(guān)鍵部分之一。今天的挑戰(zhàn)是,構(gòu)建端到端的SBOM就像不穩(wěn)定地堆疊人工構(gòu)建且易受更改影響的Jenga塔。要成功,標(biāo)準(zhǔn)和工具需要像樂高積木一樣自動(dòng)化和集成,無縫堆疊和集成,”Chin說。
在他們的計(jì)劃中,Linux基金會(huì)和OpenSSF表示,多個(gè)行業(yè)已將SBOM確定為解決開源安全問題的基本構(gòu)建塊。但要適當(dāng)應(yīng)對挑戰(zhàn),SBOM的采用必須廣泛、標(biāo)準(zhǔn)化和準(zhǔn)確?!巴ㄟ^專注于工具和宣傳,我們可以消除各地SBOM的生成、消費(fèi)和整體采用的障礙。我們可以改善整個(gè)開源生態(tài)系統(tǒng)的安全態(tài)勢:生產(chǎn)者、消費(fèi)者和維護(hù)者,”這些組織表示
他們建議為開發(fā)人員團(tuán)隊(duì)提供資源,以改進(jìn)工具并將SBOM融入所有主要編程語言中最流行的軟件構(gòu)建工具和基礎(chǔ)設(shè)施。
Chin表示,專注于提升“10 個(gè)最關(guān)鍵的OSS構(gòu)建系統(tǒng)、包管理器和分發(fā)系統(tǒng),以及更好的供應(yīng)鏈安全工具和最佳實(shí)踐,將有助于解決易受攻擊的軟件存儲庫——企業(yè)軟件的最大攻擊媒介”。