亚马逊、谷歌、IBM、微软和VMware公司代表上周前往白宫,与政府官员举行会议,讨论如何使开源软件更加安全。此前,在一种常用的开源日志记录工具中的一个关键缺陷被发现。
其他主要玩家,包括苹果、CyrdFLare、Meta、Oracle、红帽、Apache软件基金会、GitHub、Linux基金会和开源安全基金会也出席了会议。一些重要的政府官员也出席了会议,包括负责网络和新兴技术的副国家安全顾问AnneNeuberger、国家网络主管Chris Inglis,以及来自网络安全和基础设施安全局(CISA)、国家标准与技术研究所(National Institute of Standards and Technology)、国家科学基金会和国防部、商业部、能源部和国土安全部的代表。
会议记录显示,讨论的重点是如何防止开源代码和软件包中的漏洞,改进发现漏洞的过程,并缩短修复这些漏洞所需的时间。
此次峰会是在Apache的Log4J开源软件中发现一个漏洞之后召开的。Log4J是一个实用程序库,用于记录计算机系统的安全和性能信息。根据CISA,它广泛应用于消费者和企业服务、网站和应用程序。
微软之前在一篇博客中指出,由于Log4j是一个组件,“这些漏洞不仅影响使用易受攻击库的应用程序,还影响使用这些应用程序的任何服务,因此客户可能不知道该问题在他们的环境中有多普遍。”
白宫的研究小组正在考虑如何将安全功能集成到开源开发工具中,并保护用于构建和存放代码的基础设施。他们还讨论了如何对最重要的开源项目进行优先排序,以及如何扩大“软件材料清单”的使用范围,该清单概述了给定软件包中的组件。
VMware CTO Kit Colbert在一份声明中称此次会议“极具建设性”,并表示该公司期待“白宫和业界继续参与”以解决这一问题。
谷歌和Alphabet全球事务总裁兼首席法律官Kent Walker在会后的一篇博客中表示,Log4J问题“表明我们需要像保护专有软件一样关注和致力于保护开源工具”。
他补充说,从长远来看,该行业将需要开发“新的方法来识别可能带来系统性风险的软件——基于如何将其集成到关键项目中——以便我们能够预测所需的安全级别并提供适当的资源。”