開源Java套件Log4j在2021年底爆發的數個安全漏洞,對於各產業影響之廣、修補工程之龐大,再次顯露開源軟體安全性的重要。

趁著美國白宮於本周四(1/13)召開開源軟體安全高峰會(White House Open Source Software Security Summit)的時機,Google法務長Kent Walker提議應該設立一個組織,作為開源碼的維護市集,負責媒合志願者以及需要支援的重要開源專案。

開源碼的安全問題近來日趨受到重視,Linux基金會於2020年便成立了開源安全基金會(Open Source Security Foundation,OpenSSF),以支援關鍵開源專案的安全性,而最近開源Java套件Log4j所冒出的安全漏洞,進一步向全球揭露開源軟體安全性的重要。

Walker說,開源軟體一直以來皆允許外界免費使用、變更或檢查,因而促進了協作創新與新技術的開發,也讓許多關鍵基礎設施或國家安全系統都採用了開源軟體,然而,它卻缺乏官方的資源分配,對於如何維護重要程式碼的安全性,也沒有正式的要求與標準。

自從開源碼風行以來,社群都習慣假設這些具備透明化、且獲得眾多關注的開源碼專案是安全的,但事實上只有部分專案受到社群與開發者的青睞,有些則幾乎或完全被忽視。

這使得Walker發想了多個提議來維護開源碼的安全性,而不管哪個提議都需要官方與產業之間的合作,其中包括設立一個開源碼維護市集,以媒合重要開源碼專案與負責維護的志工,同時Walker身先士卒地說,Google已準備好貢獻自家資源。

Google其它的提議還包括產、官應該共同建立一個關鍵開源專案的列表,此一列表的評估方式為開源專案的重要性與影響力,才能替各種專案分配安全性資源。另一個提議是打造開源碼安全性、維護與測試的標準,相關標準理應是協同開發的,也應定期更新、持續測試及驗證它們的完整性。


熱門新聞

Advertisement