谷歌要求美国让关键的开源项目更安全

在白宫举办的“开源安全峰会”之后， 谷歌要求更多的参与 政府在识别和 保护关键的开源软件项目。

通过肯特沃克的出版物， 谷歌全球事务总裁兼首席法务官， 在一篇博文中说，需要更密切的合作 私营部门和政府之间的合作，以确保为开源软件安全提供更多资金和领导力。

“我们需要一个公私合作伙伴关系来确定关键开源项目的列表，关键性根据项目的影响和重要性确定，以帮助优先考虑和分配资源用于最重要的安全评估和增强。沃克写道。

从长远来看，这种伙伴关系必须提出新的方法来识别可能构成系统性风险的开源软件，基于它与关键项目的集成方式，以便它可以预测确保其安全所需的安全级别。 沃克补充道。

谷歌 他还希望政府和行业共同制定基准标准。 用于开源软件的安全、维护、出处和测试。

就是这样 确保国家基础设施和其他重要系统 可以信任这些项目。 沃克说，标准应该通过强调频繁更新、持续测试和验证完整性的协作过程来制定。

最后，沃克r 要求政府和私营部门提供更多资金。 他指出，许多领先的公司和组织甚至不知道他们的关键基础设施有多少是基于开源项目的。

为了解决这个问题， 呼吁提高认识并创建维护开源的市场 这将使来自企业和组织的志愿者与需要支持的关键项目联合起来。 沃克承诺，谷歌已经准备好支持这样的倡议。

开源软件缺乏维护和安全资源是过去出现的问题，但本月在发现最大的网络安全漏洞之一 Log4j 的 Java 库中存在严重缺陷后，该问题再次浮出水面。最近几年。 Log4j 库是开源的，主要由无偿劳动开发和维护。

“开源软件代码向公众开放，任何人都可以免费使用、修改或检查，”沃克写道。 “这就是为什么关键基础设施和国土安全系统的许多方面都包含它的原因。 但是没有正式的资源分配，也没有正式的要求或标准来保证关键代码的安全。 事实上，维护和改进开源安全性的大部分工作，包括修复已知漏洞，都是在自愿、临时的基础上完成的。”

开源软件的大部分资金通常来自捐赠 来自支持者或依赖他的技术公司赞助的个人。 例如，谷歌最近向 Linux 基金会的安全开源赏金计划承诺了 100 亿美元，该计划旨在为提高关键项目安全性的开发人员提供经济补偿。

就他而言，他到 IBM Corp 的 Red Hat 部门.，其高管出席了白宫国家安全委员会会议， 他说，他支持政府为提高各类软件的安全性所做的努力。

“会议的一个关键主题是认识到开源软件加速了技术创新的步伐，提供了巨大的社会和经济效益，并且可以大大提高信任和网络安全，”红帽说。这是一份声明

“我们期待在接下来的步骤中与政府和广大利益相关者合作，我们将继续专注于支持我们的客户和加强开源生态系统。”

最后 如果您有兴趣了解更多信息， 您可以在中查看详细信息 以下链接。