美国 CISA 发布开源软件安全路线图
美国总统拜登曾于 2021 年 5 月签署了一项改善网络安全的行政命令。现在,美国联邦网络安全和基础设施安全局 (CISA) 正在这项工作的基础上制定专门用于保护开源软件 (OSS) 的新路线图。 “CISA 认识到开源软件的巨大优势,它使软件开发人员能够加快工作速度并促进重大创新和协作。考虑到这些好处,本路线图列出了 CISA 将如何帮助实现联邦政府内部和外部 OSS 的安全使用和开发。” 根据介绍,该路线图定义了两种主要类型的开源漏洞。首先是广泛使用的开源软件的漏洞的连锁效应,它以 Log4Shell 为例,说明开源软件遭到破坏可能造成的广泛后果。其次是针对开源存储库的供应链攻击,可能会导致下游负面影响,例如开发人员的帐户被盗用以及攻击者利用它来提交恶意代码。 路线图列出了四个关键优先事项,包括:确立 CISA 在支持开源软件安全方面的作用、推动开源使用和风险的可见性、降低联邦政府的风险以及强化更广泛的开源生态系统。 根据 CISA 的说法,这将有助于实现其对开源软件的愿景,即“每个关键的 OSS 项目不仅是安全的,而且是可持续的和有弹性的,并得到健康、多元化和充满活力的社区的支持...
