Google提議設立一個維護開源碼的集中市集

趁著美國白宮於本周四（1/13）召開開源軟體安全高峰會（White House Open Source Software Security Summit）的時機，Google法務長Kent Walker提議應該設立一個組織，作為開源碼的維護市集，負責媒合志願者以及需要支援的重要開源專案。

開源碼的安全問題近來日趨受到重視，Linux基金會於2020年便成立了開源安全基金會（Open Source Security Foundation，OpenSSF），以支援關鍵開源專案的安全性，而最近開源Java套件Log4j所冒出的安全漏洞，進一步向全球揭露開源軟體安全性的重要。

Walker說，開源軟體一直以來皆允許外界免費使用、變更或檢查，因而促進了協作創新與新技術的開發，也讓許多關鍵基礎設施或國家安全系統都採用了開源軟體，然而，它卻缺乏官方的資源分配，對於如何維護重要程式碼的安全性，也沒有正式的要求與標準。

自從開源碼風行以來，社群都習慣假設這些具備透明化、且獲得眾多關注的開源碼專案是安全的，但事實上只有部分專案受到社群與開發者的青睞，有些則幾乎或完全被忽視。

這使得Walker發想了多個提議來維護開源碼的安全性，而不管哪個提議都需要官方與產業之間的合作，其中包括設立一個開源碼維護市集，以媒合重要開源碼專案與負責維護的志工，同時Walker身先士卒地說，Google已準備好貢獻自家資源。

Google其它的提議還包括產、官應該共同建立一個關鍵開源專案的列表，此一列表的評估方式為開源專案的重要性與影響力，才能替各種專案分配安全性資源。另一個提議是打造開源碼安全性、維護與測試的標準，相關標準理應是協同開發的，也應定期更新、持續測試及驗證它們的完整性。