谷歌大力支持美国政府主导的旨在加强开源软件安全的拟议政策框架,并敦促私营部门支持该计划。
上个月在参议院提出的《保护开源软件法案》 [PDF]
是一项两党法案,将为联邦政府使用开源软件创建安全和风险缓解蓝图。
Royal Hansen 指出:“我们很高兴看到美国政府继续强调开源软件安全的重要性,我们希望公共和私人组织都能效仿他们,促进整个生态系统的网络安全得到改善。” ,谷歌信任与安全团队工程副总裁, 27 月 XNUMX 日的博文.
开源软件代码,即适用于各种应用程序的免费构建块,从根本上说是推动现代数字企业发展的引擎。 而是恶意的 针对软件供应链的网络活动 在过去的几个季度中臭名昭着,从 SolarWinds的
至 Log4Shell
到受信任的恶意和有毒项目和软件包的聚宝盆 像 npm 这样的代码库.
汉森指出,“关于开源供应链的看似简单的问题仍然难以回答”,包括:
- 项目是否包含已知漏洞?
- 项目的维护者和社区是否在软件开发过程中遵循安全最佳实践?
- 哪些开源依赖项是特定软件的一部分?
- 分销供应链的安全性如何?
谷歌一直在积极解决这个问题,通过诸如 扩大其漏洞赏金计划 开源。 该行业倡导的方法包括 软件物料清单 (SBOM) 和自动代码审查,以帮助在易受攻击的部分在整个环境中传播太远之前捕获它们。 谷歌和其他科技巨头也向非营利组织和软件基金会投资了数百万美元,例如 开源安全基金会 支持开源创作者。 在政策方面,美国政府已 拥抱 SBOM 对于机构,以及其他举措。
这家科技巨头表示,新的联邦立法如果获得通过,将鼓励更多的公私合作,并以更有意义的方式让公共部门参与进来。
“保护开源软件是一项共同责任,我们期待在这个紧迫、关键的问题上继续合作,”汉森说。