白宫召开“开源安全”峰会，Apache/谷歌/微软/苹果等参会

受 Log4j 漏洞事件影响，美国白宫于本周召开了一场关于开源安全问题的会议；讨论改善开源软件安全的举措，以及可以迅速推动改进的新的合作方式。早在去年 12 月，白宫国家安全顾问 Jake Sullivan 就已向各大科技公司去信表明要召开此会议；并在信中指出，由志愿者维护基础性的开源软件是一个"国家安全问题"。

与会者就如何在开源软件的安全方面有所作为，同时有效地参与和支持开放源码社区进行了实质性和建设性的讨论。讨论集中在三个主题上：防止代码和开源包中的安全缺陷和漏洞、改善发现缺陷和修复缺陷的过程、以及缩短发布和实施修复的反应时间。

本次会议由白宫网络安全领导人 Anne Neuberger 领导，参会者包括 Akamai、亚马逊、Apache 软件基金会、苹果、Cloudflare、Facebook/Meta、GitHub、谷歌、IBM、Linux 基金会、开源安全基金会、微软、甲骨文、RedHat、VMWare，以及美国国防部和网络安全与基础设施安全局（CISA）等政府机构的官员。美国国家网络总监 Chris Inglis 称，"围绕 Log4j 的情况突出了改善我们的软件安全和软件供应链透明度的必要性"。

Google & Alphabet 全球事务总裁兼首席法务官 Kent Walker 在一篇博客中表示，开源软件代码向公众开放，任何人都可以免费使用、修改或检查。开源促进了协作创新和新技术的开发，以帮助解决共同的问题；所以一些关键基础设施和国家安全系统的许多方面都应用了开源软件。但是没有官方的资源分配，也没有维护该关键代码安全的正式要求或标准。事实上，维护和增强开源安全性的大部分工作，包括修复已知漏洞，都是在临时的、自愿的基础上完成的。

“长期以来，软件社区一直认为开源软件通常是安全的。因为它是透明的，并且假设‘许多眼睛’都在注视着以发现和解决问题。但事实上，虽然有些项目确实有很多人关注，但还有很多项目却很少或根本没有关注。”

谷歌方面在此次会议上就如何进一步创建维护和保障开源软件的新模式提出了一些列的建议。包括有：

• 识别关键项目。需要一个公私合作伙伴关系来确定一个关键开源项目的清单；其中关键性是根据项目的影响力和重要性来确定的，以帮助优先考虑和分配资源给最基本的安全评估和改进。
• 建立安全、维护和测试基线。Walker 指出，这些标准应该通过一个合作的过程来制定，强调频繁的更新、持续的测试和验证的完整性。并以 OpenSSF 进行了举例，“幸运的是，软件社区已经有了一个良好的开端。像 OpenSSF 这样的组织已经在跨行业努力创建这些标准（包括支持像我们的 SLSA 框架这样的工作）。”
• 增加公共和私人支持。谷歌提议建立一个组织作为开源维护市场，将来自公司的志愿者与最需要支持的关键项目相匹配。并表态称，谷歌“随时准备好为这一举措贡献资源”。

对于上述第一点，IBM 的企业安全主管 Jamie Thomas 表示了赞同并指出，白宫会议明确表明了"政府和行业可以共同努力改进开源的安全实践。我们可以从鼓励广泛采用开放和合理的安全标准开始，确定应该满足最严格的安全要求的关键开源资产，并促进全国范围内的合作，扩大开源安全的技能培训和教育，奖励在该领域取得重要进展的开发者"。

Apache 软件基金会营销副总裁 Joe Brockmeier 也在一份声明中表示，解决开源供应链固有的安全问题没有单一的“灵丹妙药”。前进的道路将需要使用和发布开源软件的公司和组织进行上游协作。