面對開源軟體安全的議題,全球都在關注,如今美國政府與科技巨擘正積極採取行動,盼能改善相關風險。今年1月,美國白宮便曾舉行開源軟體安全高峰會,當時邀集多家科技業者,商討這個獨特的安全挑戰,近期,5月中旬二度舉辦開源軟體安全高峰會,這場會議,由Linux基金會與開源安全基金會(OpenSSF)召開,集結37家科技業者的高階主管,以及美國白宮等多個聯邦機關官員,共90人與會,這次會議不僅達成更多的共識,並具體指出將解決開源軟體的十大挑戰,同時科技業者也承諾,在未來兩年內,將投入1.5億元經費解決相關問題。

特別的是,這次會議的召開時間可說是別具意義,去年同一時間,美國總統拜登簽署了一份改善國家網路安全的行政命令EO 14028中,當中亦涵蓋提高開源軟體供應鏈的安全。

而參與這次會議的成員,來自多個重量級業者,包括Amazon、Google、微軟、VMware、Dell、GitHub、Intel、摩根大通等,同時也有多個美國政府機關的官員出席,包括來自美國白宮、美國國家安全委員會(NSC)、美國網路安全及基礎設施安全局(CISA)、美國國家標準暨技術研究院(NIST)、白宮網路主任辦公室(ONCD)、能源部(DOE)與美國行銷管理和預算局(OMB)的官員。這樣的組合,其實也顯現出開源社群、科技巨擘,以及美國聯邦政府之間加強合作的態勢與重要性。

面對開源軟體安全議題,聚焦解決10大問題

該如何改善開源軟體安全?Linux基金會與開源安全基金會在接納多方意見後,現已發布首個廣泛解決開源軟體安全的計畫專案,名為「開源軟體安全動員計畫」(The Open Source Software Security Mobilization Plan),當中最受關注的焦點就是,不僅詳細說明解決開源軟體3大議題與10大問題,也公布解決各項問題將投入的經費。

基本上,在首次開源軟體安全高峰會上,當時討論了3個主要目標,包括:首先,確保開源軟體生產的安全,重點放在防止程式碼與開放原始碼套件(Open Source package)的缺陷與漏洞;其次,改善漏洞發現與修補;最後,縮短整個生態體系的修補應變時間

如今,隨著第二次開源軟體安全高峰會的召開,現已進一步訂出開源軟體十大問題,分別是:(一)安全教育、(二)風險評估、(三)數位簽章、(四)記憶體安全、(五)資安應變、(六)強化掃描能力、(七)程式碼稽核、(八)資料分享、(九)軟體物料清單SBOM,以及(十)供應鏈改善。

具體而言,以確保開源軟體生產安全的目標而言,在安全教育面向,透過教育與認證讓所有人提升安全軟體開發的水準;在風險評估面向上,為最熱門的1萬個或更多開源軟體元件建立一個公開、中立且基於客觀指標的風險評估儀表板;在數位簽章方面,加速軟體發布採用數位簽章;在記憶體安全方面,透過替換「不具記憶體安全(non-memory-safe)」的程式語言,像是C與C++,來消除許多漏洞的根源。

以改善漏洞發現與修補的目標而言,在資安應變方面,強調建立OpenSSF開源安全事件回應小組,資安專家可在處裡漏洞的關鍵時刻協助開源專案;在強化掃描能力面向,透過進階的安全工具與專家指引,加速開源專案維護者與專家對新漏洞的發現;在程式碼稽核方面,每年將針對兩百多個關鍵的開源軟體元件,進行一次第三方程式碼審查以及必要的修補工作;在資料分享方面,將協調所有產業共享相關資料,幫助確定出最關鍵的開源軟體元件並改善研究。

以縮短整個生態體系的修補應變時間的目標而言,在軟體物料清單方面,將改善SBOM工具,並且推動這類工具的培訓與採用;在供應鏈改善方面,將運用更好的供應鏈安全工具與最佳實踐,來強化10個最關鍵的開源軟體開發系統、套件管理器與布署系統。

特別的是,這次計畫已確定改善這十大問題的投入經費,其中,對於「強化掃描能力」一項的首年投入金費最高,達1,500萬美元,之後每年投入1,100萬美元,「程式碼稽核」的首年投入金額也達1,100萬美元,之後每年將投入更多,達4,200萬美元。

整體而言,為解決這十大問題,這項計畫的首年投入經費將達到6,840萬美元,次年將為7,950萬美元。

目前,在這1.5億美元的經費中,已由Amazon、Ericsson、Google、微軟、VMware共同認捐超過3,000萬美元,作為此一計畫的前期資金。

 

自今年一月白宮召開開源軟體安全高峰會後,近日Linux基金會與開源安全基金會(OpenSSF)二度召開此會議,同時發布了開源軟體安全動員計畫白皮書,具體商討出強化開源軟體安全需解決10大問題。

美國解決開源軟體安全十大問題的經費配置

項目 內容 第一年經費 第二年經費
1 推動安全軟體開發水準教育 450萬美元 350萬美元
2 建立開源軟體風險評估儀表板 350萬美元 390萬美元
3 推動數位簽章增強信任 1,300萬美元 400萬美元
4 替換不具記憶體安全的程式語言 550萬美元 200萬美元
5 成立OpenSSF開源安全事件應變小組 275萬美元 300萬美元
6 加快新漏洞的挖掘與修復 1,500萬美元 1,100萬美元
7 實施第三方稽核,以及程式碼審核與修復 1,100萬美元 4,200萬美元
8 資料共享以確定關鍵項目 185萬美元 205萬美元
9 軟體物料清單無所不在,提供安全範例與工具 320萬美元 待公布
10 強化開源軟體開發系統、套件管理器與布署系統 810萬美元 810萬美元
  總投入經費 6,840萬美元 7,950萬美元

Linux基金會,iThome整理,2022年5月

在開源軟體安全動員計畫白皮書中,針對解決開源軟體安全的10大問題,都提供了詳細的說明。以第一項安全教育而言,當中指出,從歷史上看,傳統的軟體工程課程很少關注、強調,或是教授良好的網路安全衛生與安全Coding技術的重要性。因此,OpenSSF提出了以下多管齊下的方法來解決這個問題,包括:收集與策劃內容、擴大培訓,以及並獎勵與激勵開發者。同時,白皮書中也具體擬定出各項問題所需花費的預算。這十項內容均值得國內思考。

熱門新聞

Advertisement