美國當地時間周四白宮舉辦的開源安全峰會之后，Google 呼吁政府更多地參與識別和保護關鍵的開源軟件項目。在峰會結束后不久發(fā)表的一篇博文中，Google 和 Alphabet 的全球事務總裁和首席法律官肯特·沃克(Kent Walker)說，政府和私營部門之間需要合作，以進行開源資金和管理。

沃克寫道：“我們需要公私合作，確定一份關鍵開源項目的清單--關鍵程度根據項目的影響力和重要性來確定--以幫助優(yōu)先考慮和分配資源，用于最基本的安全評估和改進”。

該博文還呼吁增加公共和私人投資，以保持開源生態(tài)系統(tǒng)的安全，特別是當軟件被用于基礎設施項目時。在大多數情況下，此類項目的資金和審查是由私營部門進行的。

截至發(fā)稿時，白宮尚未對評論請求作出回應。

沃克寫道：“開放源碼軟件代碼是向公眾開放的，任何人都可以免費使用、修改或檢查......。這就是為什么關鍵基礎設施和國家安全系統(tǒng)的許多方面都采用了它。但沒有官方的資源分配，也沒有什么正式的要求或標準來維護該關鍵代碼的安全。事實上，大多數維護和加強開源安全的工作，包括修復已知的漏洞，都是在臨時的、自愿的基礎上完成的”。

長期以來，開源開發(fā)的資金和資源短缺一直被作為一個安全問題提出來，在發(fā)現 Log4j Java 庫的一個嚴重漏洞后，這個問題再次成為一個關鍵問題，該漏洞迅速成為近年來最大的網絡安全漏洞。Log4j 庫也是主要由無償勞動開發(fā)和維護的。

當開源項目確實收到資金時，它通常來自私人來源，如個人捐款或科技公司的贊助。Google最近為安全開源(SOS)獎勵計劃提供了100萬美元，這是Linux基金會正在實施的一項試點計劃，旨在對致力于改善開源項目安全的開發(fā)者進行經濟補償。