近日,美政府與37家科技巨頭、開源社群召開開源軟件安全峰會,并發布《開源軟件安全動員計劃白皮書》。亞馬遜、谷歌、微軟、威睿、戴爾、英特爾等科技巨頭參加并承諾,在未來兩年內,將投入1.5億元經費解決相關問題。
對此,360天樞智庫高級研究員魏小強表示,該計劃標志著一個新的和關鍵的資源匯聚的開始,建立在開源軟件基礎上的知識、員工和資金充分融合,以進一步支持數字世界開源軟件安全的基礎設施。這件事給我國的啟示是,開源軟件安全已經成為信息產業的重要的基礎設施,與任何公路或橋梁一樣重要,都需要長期進行有組織的維護。
事實上,開源軟件一直面臨安全風險。360方面曾指出,全球范圍內90%以上的云服務器操作系統、80%以上的移動操作系統都基于開源軟件。但是由于開源軟件開發人員來自不同國家、不同背景,源代碼的查看、修改、增加權限較為開放,很容易被植入“后門”。甚至,業界對開源代碼很多是直接拿來使用,或只做些小修小補,因此很容易帶入未知的安全風險。
而我國銀行、能源、國防、醫療、電力等重要行業運行的系統,也大量使用開源軟件。如果被惡意利用,足以撼動我國關鍵信息基礎設施的安全。
因此,建設開源軟件安全生態勢在必行。“開源軟件安全是一個影響每個使用軟件的組織(包括政府和企業)的問題。要解決如此復雜的問題,單獨依靠任何一方都顯得力不從心。”魏小強稱。
而如何保持持久性則成為開源軟件安全生態建設的一大挑戰。“該白皮書給我們的啟示是,依靠政府、安全公司、科技企業進行協作,從資金、人才和知識三個方面入手,建立一種長遠的社區激勵機制將具有重要意義。”魏小強認為,具體建議包括建立開源軟件安全維護者社區,推動軟件安全教育,建立常用和重要的開源軟件組件清單并定期進行風險評估,對核心的開源安全組件采用數字簽名驗證等。
此外,最重要的一點是要激勵創新。“開源軟件安全問題,說到底還是一個價值創新問題。”魏小強表示,利用社區的力量有組織的構建開源安全社區生態,不斷激勵創新,把價值回歸到社區的貢獻者身上,才能持續的解決好軟件供應鏈安全問題。
