美國當(dāng)?shù)貢r間周四白宮舉辦的開源安全峰會之后，Google 呼吁政府更多地參與識別和保護關(guān)鍵的開源軟件項目。在峰會結(jié)束后不久發(fā)表的一篇博文中，Google 和 Alphabet 的全球事務(wù)總裁和首席法律官肯特·沃克(Kent Walker)說，政府和私營部門之間需要合作，以進行開源資金和管理。

沃克寫道：“我們需要公私合作，確定一份關(guān)鍵開源項目的清單--關(guān)鍵程度根據(jù)項目的影響力和重要性來確定--以幫助優(yōu)先考慮和分配資源，用于最基本的安全評估和改進”。

該博文還呼吁增加公共和私人投資，以保持開源生態(tài)系統(tǒng)的安全，特別是當(dāng)軟件被用于基礎(chǔ)設(shè)施項目時。在大多數(shù)情況下，此類項目的資金和審查是由私營部門進行的。

截至發(fā)稿時，白宮尚未對評論請求作出回應(yīng)。

沃克寫道：“開放源碼軟件代碼是向公眾開放的，任何人都可以免費使用、修改或檢查......。這就是為什么關(guān)鍵基礎(chǔ)設(shè)施和國家安全系統(tǒng)的許多方面都采用了它。但沒有官方的資源分配，也沒有什么正式的要求或標(biāo)準(zhǔn)來維護該關(guān)鍵代碼的安全。事實上，大多數(shù)維護和加強開源安全的工作，包括修復(fù)已知的漏洞，都是在臨時的、自愿的基礎(chǔ)上完成的”。

長期以來，開源開發(fā)的資金和資源短缺一直被作為一個安全問題提出來，在發(fā)現(xiàn) Log4j Java 庫的一個嚴(yán)重漏洞后，這個問題再次成為一個關(guān)鍵問題，該漏洞迅速成為近年來最大的網(wǎng)絡(luò)安全漏洞。Log4j 庫也是主要由無償勞動開發(fā)和維護的。

當(dāng)開源項目確實收到資金時，它通常來自私人來源，如個人捐款或科技公司的贊助。Google最近為安全開源(SOS)獎勵計劃提供了100萬美元，這是Linux基金會正在實施的一項試點計劃，旨在對致力于改善開源項目安全的開發(fā)者進行經(jīng)濟補償。