9月初,美国联邦政府国家网络主任办公室、总统执行办公室、网络安全和基础设施安全局、国土安全部、国家科学基金会、国防高级研究项目局、管理和预算办公室、总统执行办公室,联合发布了关于开源软件(OSS)安全的信息请求 (RFI) ,邀请公众对开源软件安全的长期关注领域和应优先处理的事项顺序发布看法和提供建议,是为收集信息和改进OSS安全洞见,提升OSS安全性,帮助美国联邦政府形成对开源软件安全的思考,制定加强开源软件生态系统的战略和行动计划。
开源软件安全倡议跨部门工作组OSI3的这份倡议书上写到,开源软件使软件开发能够以令人难以置信的速度进行,并促进重大的创新和协作。开源软件的安全性是国家安全、经济和技术创新的当务之急。由于开源软件在国家关键基础设施中发挥着至关重要且无处不在的作用,开源软件组件中的漏洞可能会导致广泛的有害影响。开源软件作为免费公共物品的地位,将开源软件作为国家公共优先事项可能是适当的,以帮助确保开源软件的安全性、可持续性和健康。
倡议书里提到,在过去的一年里,开源软件安全倡议跨部门工作组OS3I 确定了几个重点领域,包括:
1、减少内存不安全编程语言的扩散;
2、设计安全且保护隐私的安全证明的实施要求;
3、确定新的优先重点领域。
倡议书开头提出了大量问题,如:
1、美国联邦政府应如何解决开源软件中最重要的系统性风险?
2、美国联邦政府应如何培养开源软件社区的长久可持续发展?
3、从技术和资源角度来看,应如何执行OSS安全解决方案?
4、应该优先处理哪些事项?
可能的关注领域
RFI倡议书认为可能的关注领域如下:
1、保护开源软件基础的安全:如促进对内存安全编程语言的采用、大规模减少漏洞总数、增强软件供应链安全以及开发者教育等。
2、支持开源软件社区和治理。
3、发布行为和经济激励措施,保护开源软件生态系统安全。
4、研发/创新。
5、国际协作。
潜在的重点领域
领域:安全开源软件基础
//子领域: 促进内存安全编程语言的采用
支持以内存安全语言重写关键开源软件组件
将开源软件重构为内存安全语言时解决软件、硬件和数据库的相互依赖性
开发工具来自动化和加速将开源软件组件重构为内存安全语言,包括代码验证技术
支持该子领域的其他解决方案
//子领域: 大规模减少整类漏洞
提高开源软件开发的默认配置的安全性
促进开源软件开发最佳实践,包括但不限于输入验证实践
确定方法来激励自愿社区和/或公私合作伙伴对开源软件进行可扩展的监控和验证工作
支持该子领域的其他解决方案
//分领域:强化软件供应链
设计工具以实现来自软件供应商(包括其供应商和开源软件维护者)的安全、保护隐私的安全认证
检测和缓解易受攻击和恶意的软件开发操作和行为
合并复杂代码依赖项的自动跟踪和更新
将零信任架构纳入开源软件生态系统
支持该子领域的其他解决方案
//子领域: 开发者教育
将安全和开源软件教育纳入计算机科学和软件开发课程
对软件开发人员进行安全最佳实践培训
对软件开发人员进行内存安全编程语言培训
支持该子领域的其他解决方案
领域: 维持开源软件社区和治理
维持开源软件生态系统(包括开发者社区、非营利投资者和学术界),确保关键开源软件组件拥有健全的维护计划和治理结构
支持该子领域的其他解决方案
领域: 保护开源软件生态系统的行为和经济激励
激励安全软件开发实践的软件开发人员薪酬框架和模型
应用网络安全保险和适当定制的软件责任作为激励安全软件开发和操作环境实践的机制
支持该子领域的其他解决方案
领域: 研发/创新
应用人工智能和机器学习技术来增强和加速安全软件开发方面的网络安全最佳实践
支持该子领域的其他解决方案
领域: 国际合作
确定和协调共同的国际优先事项和依赖性的方法
政府间协作以及与各种开源软件社区的协作结构
支持该子领域的其他解决方案
//说明:本文主要内容来源于翻译RFI原文。