谷歌承諾投資100億美元用于強(qiáng)化美國基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全，其中包括推廣零信任計(jì)劃，幫助保護(hù)軟件供應(yīng)鏈和增強(qiáng)開源安全。

該公司將利用自身已經(jīng)施行多年的幾項(xiàng)計(jì)劃，擴(kuò)展開源模糊測試工具以推動(dòng)Linux內(nèi)核開發(fā)人員做好安全工作，并推廣使用內(nèi)存安全的編程語言進(jìn)行Linux編程。

[[422832]]

本周早些時(shí)候，美國總統(tǒng)拜登召集蘋果、谷歌、微軟和摩根大通等業(yè)界巨頭共商美國關(guān)鍵基礎(chǔ)設(shè)施保護(hù)大計(jì)，谷歌的百億美元網(wǎng)絡(luò)安全投資計(jì)劃正是在這種背景下拋出的。

此前，為建立供美國聯(lián)邦機(jī)構(gòu)實(shí)現(xiàn)的零信任設(shè)計(jì)，美國商務(wù)部國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)選擇了18家網(wǎng)絡(luò)安全公司。谷歌盡管不是18家所選公司之一，但正與NIST合作開發(fā)這方面框架。

零信任假設(shè)網(wǎng)絡(luò)已經(jīng)遭入侵，并將關(guān)注重點(diǎn)從鞏固網(wǎng)絡(luò)邊界拉回到應(yīng)用、數(shù)據(jù)和人本身。

谷歌基礎(chǔ)設(shè)施副總裁Eric Brewer和資深軟件工程師Dan Lorenc在博客文章中寫道：“不同于被動(dòng)修復(fù)漏洞，我們應(yīng)該通過能夠堵住所有種類漏洞的安全編程語言、平臺(tái)和框架主動(dòng)杜絕漏洞。”

“相較于費(fèi)勁嘗試修復(fù)漏洞及其后果，在問題脫離開發(fā)人員鍵盤之前就加以預(yù)防更加安全，也更省錢。”

8月25日，美國總統(tǒng)拜登在白宮會(huì)見私營產(chǎn)業(yè)巨頭，指出僅靠美國聯(lián)邦政府無法解決保護(hù)關(guān)鍵基礎(chǔ)設(shè)施不受網(wǎng)絡(luò)攻擊侵害的難題。

近期頻頻爆出的重大網(wǎng)絡(luò)攻擊事件，比如Colonial Pipeline勒索軟件攻擊、SolarWinds軟件供應(yīng)鏈攻擊和微軟Exchange服務(wù)器大規(guī)模漏洞利用事件，一定程度上推動(dòng)谷歌和微軟順勢應(yīng)承拜登的網(wǎng)絡(luò)安全行政令，承諾在未來五年內(nèi)分別投資100億和200億美元，用于改善美國面對(duì)未來網(wǎng)絡(luò)安全威脅的響應(yīng)。

《華盛頓郵報(bào)》登載拜登言論稱：“我認(rèn)為，你們有能力和責(zé)任來提升網(wǎng)絡(luò)安全水平。最終，我們都有很多工作要做。

今年6月，Brewer發(fā)了四篇文章響應(yīng)拜登關(guān)于加強(qiáng)軟件供應(yīng)鏈安全的14028號(hào)網(wǎng)絡(luò)安全行政令。

其中一篇文章探討C語言編程固有的安全問題，以及Rust語言的興起。

Brewer寫道：“安全編程語言和應(yīng)用框架可用于在軟件上施加一種結(jié)構(gòu)，使之能夠?qū)崿F(xiàn)大規(guī)模高置信度安全推理。”

“但確?，F(xiàn)實(shí)世界C代碼切實(shí)滿足了這一要求卻十分困難，而且常常需要極其艱難地推斷堆內(nèi)存結(jié)構(gòu)。同樣，確保正確驗(yàn)證和轉(zhuǎn)義流入Web應(yīng)用HTML標(biāo)記語言的所有數(shù)據(jù)也很棘手，因?yàn)閿?shù)據(jù)從輸入到輸出一路上要流經(jīng)多個(gè)組件，比如流經(jīng)存儲(chǔ)模式。”

相反，作為系統(tǒng)開發(fā)語言，新興的Rust語言在內(nèi)存安全方面內(nèi)置了構(gòu)造安全方法，可切實(shí)替換掉C和C++。比如，Rust的類型系統(tǒng)施行所有權(quán)機(jī)制，確保無法訪問已釋放的內(nèi)存等。

所以，谷歌支持將Rust作為僅次于C的編程語言納入Linux內(nèi)核。Lorenc和Brewer解釋稱，應(yīng)該從一開始就限制軟件漏洞，而不是為應(yīng)對(duì)新漏洞而疲于奔命。微軟和AWS也支持Rust作為C和C++系統(tǒng)編程的內(nèi)存安全替代。

谷歌倡導(dǎo)軟件代碼測試，包括使用微軟家GitHub的工具，比如Dependabot——保持開源軟件包或依賴更新的一款工具。

谷歌還提出，可以將軟件物料清單(SBOM)融入美國官方對(duì)軟件供應(yīng)鏈攻擊的響應(yīng)當(dāng)中。在這方面，Linux基金會(huì)正在努力踐行拜登的網(wǎng)絡(luò)安全行政令。由于現(xiàn)代程序使用了大量庫依賴，開源軟件和專有軟件都不好解決這個(gè)復(fù)雜問題。

谷歌稱：“SBOM需要合理的信噪比：如果包含太多信息，就沒什么效果，所以我們敦促NTIA(國家電信與信息管理局)擬定具體用例在粒度和深度方面的最低和最高要求。”