美國總統(tǒng)拜登曾于 2021 年 5 月簽署了一項改善網絡安全的行政命令。現在，美國聯(lián)邦網絡安全和基礎設施安全局 (CISA) 正在這項工作的基礎上制定專門用于保護開源軟件 (OSS) 的新路線圖。

“CISA 認識到開源軟件的巨大優(yōu)勢，它使軟件開發(fā)人員能夠加快工作速度并促進重大創(chuàng)新和協(xié)作。考慮到這些好處，本路線圖列出了 CISA 將如何幫助實現聯(lián)邦政府內部和外部 OSS 的安全使用和開發(fā)。”

根據介紹，該路線圖定義了兩種主要類型的開源漏洞。首先是廣泛使用的開源軟件的漏洞的連鎖效應，它以 Log4Shell 為例，說明開源軟件遭到破壞可能造成的廣泛后果。其次是針對開源存儲庫的供應鏈攻擊，可能會導致下游負面影響，例如開發(fā)人員的帳戶被盜用以及攻擊者利用它來提交惡意代碼。

路線圖列出了四個關鍵優(yōu)先事項，包括：確立 CISA 在支持開源軟件安全方面的作用、推動開源使用和風險的可見性、降低聯(lián)邦政府的風險以及強化更廣泛的開源生態(tài)系統(tǒng)。

根據 CISA 的說法，這將有助于實現其對開源軟件的愿景，即 “每個關鍵的 OSS 項目不僅是安全的，而且是可持續(xù)的和有彈性的，并得到健康、多元化和充滿活力的社區(qū)的支持。”

供應鏈安全公司 Chainguard 的聯(lián)合創(chuàng)始人兼首席執(zhí)行官 Dan Lorenc 認為，CISA 在細分該領域的問題，然后優(yōu)先解決這些問題方面做得很好。他們很好地認識到了這項工作需要 “在上游進行，CISA 員工需要直接與社區(qū)接觸”，不過他仍然對這項工作的具體進展持懷疑態(tài)度。

Lorenc 建議政府在實際資助開源項目方面做出一些努力，但目前的路線圖根本沒有提及這一點。

“政府在幫助直接代碼或其他貢獻方面并沒有很好的聲譽，但他們確實有能力幫助資助已經在進行的工作，以實現路線圖中的許多項目，如內存安全、漏洞修復和 SBOM 工具。但這里的政府合作模式不能采取 you push, we’ll steer 的方式。”