美國總統(tǒng)拜登曾于 2021 年 5 月簽署了一項改善網(wǎng)絡(luò)安全的行政命令?，F(xiàn)在，美國聯(lián)邦網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 正在這項工作的基礎(chǔ)上制定專門用于保護(hù)開源軟件 (OSS) 的新路線圖。

“CISA 認(rèn)識到開源軟件的巨大優(yōu)勢，它使軟件開發(fā)人員能夠加快工作速度并促進(jìn)重大創(chuàng)新和協(xié)作。考慮到這些好處，本路線圖列出了 CISA 將如何幫助實(shí)現(xiàn)聯(lián)邦政府內(nèi)部和外部 OSS 的安全使用和開發(fā)?！?/span>

根據(jù)介紹，該路線圖定義了兩種主要類型的開源漏洞。首先是廣泛使用的開源軟件的漏洞的連鎖效應(yīng)，它以 Log4Shell 為例，說明開源軟件遭到破壞可能造成的廣泛后果。其次是針對開源存儲庫的供應(yīng)鏈攻擊，可能會導(dǎo)致下游負(fù)面影響，例如開發(fā)人員的帳戶被盜用以及攻擊者利用它來提交惡意代碼。

路線圖列出了四個關(guān)鍵優(yōu)先事項，包括：確立 CISA 在支持開源軟件安全方面的作用、推動開源使用和風(fēng)險的可見性、降低聯(lián)邦政府的風(fēng)險以及強(qiáng)化更廣泛的開源生態(tài)系統(tǒng)。

根據(jù) CISA 的說法，這將有助于實(shí)現(xiàn)其對開源軟件的愿景，即 “每個關(guān)鍵的 OSS 項目不僅是安全的，而且是可持續(xù)的和有彈性的，并得到健康、多元化和充滿活力的社區(qū)的支持?！?/span>

供應(yīng)鏈安全公司 Chainguard 的聯(lián)合創(chuàng)始人兼首席執(zhí)行官 Dan Lorenc 認(rèn)為，CISA 在細(xì)分該領(lǐng)域的問題，然后優(yōu)先解決這些問題方面做得很好。他們很好地認(rèn)識到了這項工作需要 “在上游進(jìn)行，CISA 員工需要直接與社區(qū)接觸”，不過他仍然對這項工作的具體進(jìn)展持懷疑態(tài)度。

Lorenc 建議政府在實(shí)際資助開源項目方面做出一些努力，但目前的路線圖根本沒有提及這一點(diǎn)。

“政府在幫助直接代碼或其他貢獻(xiàn)方面并沒有很好的聲譽(yù)，但他們確實(shí)有能力幫助資助已經(jīng)在進(jìn)行的工作，以實(shí)現(xiàn)路線圖中的許多項目，如內(nèi)存安全、漏洞修復(fù)和 SBOM 工具。但這里的政府合作模式不能采取 you push, we’ll steer 的方式?！?/span>