美国 CISA 发布开源软件安全路线图


多元共进|2023 Google 开发者大会精彩演讲回顾

美国总统拜登曾于 2021 年 5 月签署了一项改善网络安全的行政命令。现在,美国联邦网络安全和基础设施安全局 (CISA) 正在这项工作的基础上制定专门用于保护开源软件 (OSS) 的新路线图。

“CISA 认识到开源软件的巨大优势,它使软件开发人员能够加快工作速度并促进重大创新和协作。考虑到这些好处,本路线图列出了 CISA 将如何帮助实现联邦政府内部和外部 OSS 的安全使用和开发。”

根据介绍,该路线图定义了两种主要类型的开源漏洞。首先是广泛使用的开源软件的漏洞的连锁效应,它以 Log4Shell 为例,说明开源软件遭到破坏可能造成的广泛后果。其次是针对开源存储库的供应链攻击,可能会导致下游负面影响,例如开发人员的帐户被盗用以及攻击者利用它来提交恶意代码。

路线图列出了四个关键优先事项,包括:确立 CISA 在支持开源软件安全方面的作用、推动开源使用和风险的可见性、降低联邦政府的风险以及强化更广泛的开源生态系统。

根据 CISA 的说法,这将有助于实现其对开源软件的愿景,即“每个关键的 OSS 项目不仅是安全的,而且是可持续的和有弹性的,并得到健康、多元化和充满活力的社区的支持。”

供应链安全公司 Chainguard 的联合创始人兼首席执行官 Dan Lorenc 认为,CISA 在细分该领域的问题,然后优先解决这些问题方面做得很好。他们很好地认识到了这项工作需要“在上游进行,CISA 员工需要直接与社区接触”,不过他仍然对这项工作的具体进展持怀疑态度。

Lorenc 建议政府在实际资助开源项目方面做出一些努力,但目前的路线图根本没有提及这一点。

“政府在帮助直接代码或其他贡献方面并没有很好的声誉,但他们确实有能力帮助资助已经在进行的工作,以实现路线图中的许多项目,如内存安全、漏洞修复和 SBOM 工具。但这里的政府合作模式不能采取 you push, we’ll steer 的方式。”

查看完整路线图。


相關推薦

2022-09-27

近日,美国通过两党立法将开源软件安全再次列入重点考量,称为《保护开源软件法案》 (Securing Open Source Software Act),目标就是保护关键基础设施。 美国参议员 Gary Peters (D-MI) 和国土安全和政府事务委员会主席兼高级成员 Rob P

2021-12-24

美国网络安全和基础设施安全局 (CISA) 主任 Jen Easterly 和国土安全部部长 Alejandro Mayorkas 宣布扩大其“Hack DHS”漏洞赏金计划,现在与 Log4j 相关的漏洞也包含在此计划中。 Hack DHS 是美国国土安全部 (DHS)在12月14日推出的一项

2021-12-23

标网站或站群发起攻击,其中包括政府网站。 此外,美国网络安全和基础设施安全局(CISA)就命令所有联邦民事机构“必须在圣诞节前修补好与 Log4j 相关的系统”。新加坡网络安全局 (CSA) 也与关键信息基础设施 (CII) 部门针

2023-09-27

宣布 Nuvem —— 这是一个新的连接葡萄牙、百慕大和美国的跨大西洋海底光缆系统。 Nuvem 是这条新海底光缆的名字,在葡萄牙语中是 'cloud' 的意思。Nuvem 将提升跨大西洋的网络弹性,帮助满足对数字服务不断增长的需求

2022-11-13

美国国家安全局(NSA)发布了一份指南,旨在帮助软件开发商和运营商预防和缓解软件内存安全问题。其鼓励组织将编程语言从 C 和 C++ 之类的语言转变为内存安全的替代语言——即 C#、Rust、Go、Java、Ruby 或 Swift,以保护代码免

2023-03-01

势正在危及开源未来的经济贡献。 文章提到, 2019 年美国向电信巨头华为鸣枪示警,拉起贸易战中的科技封锁线。华为手机过往基于 Android 开源操作系统搭建自己的程序与服务,但时任总统特朗普将华为列入黑名单,限制华

2023-06-09

美国参议院隐私、技术和法律小组委员会主席 Richard Blumenthal 和副主席 Josh Hawley 近日致信马克·扎克伯格 (Mark Zuckerberg),就 Meta 的大语言模型 LLaMA 泄露一事提出了质疑。 他们担忧该模型可能被滥用于垃圾邮件、欺诈、恶意软件

2023-03-10

试阶段,Android 14 DP 2 的发布时间也符合 Google 此前公布的路线图。 预计在今年下半年正式发布 Android 14 稳定版之前,还会经历 4 个 Beta 测试版本。 后台优化 Android 14 DP 2 包括对 Android 内存管理系统的优化,以提高应用程序在

2023-07-01

代码托管服务平台对标的 GitHub 外,其他对标厂商分别为美国Atlassian(市值500亿美元,曾一度突破千亿美元市值)、美国 GitLab(市值80亿美元)、以色列 JFrog(市值30亿美元)。其中,Atlassian 是全球最大的项目管理和解决方案提

2023-10-02

美国国家安全局 (NSA) 宣布正在创建人工智能安全中心,以“监督美国国家安全系统内人工智能功能的开发和集成”。 新中心将帮助促进与在国家安全中使用人工智能相关的最佳实践、评估方法和风险框架的发展。美国国家安全

2023-11-29

国缺乏将其创新商业化所需的商业技能。 留住经常逃往美国的人才 —— 通过支持这些技能在英国的发展来阻止移民,并鼓励技术工人移民。 培训人员掌握正确的工程和开发技能 —— 英国目前还没有,而且团队缺乏

2023-10-09

-2... - FreeBuf网络安全行业门户】 4. 新的AtlasCross黑客冒充美国红十字会发送网络钓鱼诱饵 “AtlasCross”新黑客组织冒充美国红十字会,针对有网络钓鱼诱饵的组织发送后门恶意软件。【Access denied | www.bleepingcomputer.com used Cloudflare t

2022-07-31

可以考虑在支持期结束前升级至 .NET 7,根据微软的开发路线图,.Net 7 将于今年 11 月发布,早于 .Net Core 3.1 的结束支持时间。 虽说构建于 .NET Core 3.1 之上的应用程序在支持结束后可以继续使用,但新版本能够极大地改善应用程

2023-11-17

ub 上所有活动的 80% 以上。 全球开发者社区继续增长。美国拥有 2020 万开发者,开发者人数在去年增长了 21%,仍然是全球最大的开发者社区。亚太地区、非洲、南美洲和欧洲的开发者社区规模逐年扩大,其中印度、巴西和日