图灵汇官网

极客网1月14日最新报道

在白宫举办的开源安全峰会上，谷歌向政府提出了更多参与识别和保护关键开源软件项目的重要倡议。谷歌全球事务总裁兼首席法律顾问肯特·沃克（Kent Walker）在峰会后续发布的一篇博文中强调了政府与私营部门在开源资金与管理上的合作至关重要。沃克指出，为了有效评估和提升关键开源项目的安全性，需要建立公私伙伴关系，共同确定那些影响广泛且至关重要的项目清单。

文章进一步呼吁增加公共与私人投资，以确保开源生态系统的稳定与安全，特别是在基础设施软件应用中。当前情况下，这类项目多由私营部门承担资助与审查责任。

截至发稿时，白宫尚未对此发表回应。沃克在博文中提到，开源软件的代码向公众开放，允许任何人自由访问、修改或审核，这使得关键基础设施与国家安全系统中广泛采用了开源代码。然而，缺乏官方资源分配以及正式的安全维护要求与标准，导致维护和增强开源安全性的工作大多依赖于临时性与自愿性质的活动。尤其在Log4j Java库这类主要由无偿劳动开发与维护的开源项目中，发现的重大错误凸显了安全问题的紧迫性。

长期以来，开源项目资金与资源短缺一直被视为安全挑战，而Log4j事件的爆发更是将其推至关键位置。当开源项目获得资金支持时，通常来自私人或私营部门，包括个人捐赠、科技公司赞助等。例如，谷歌最近为安全开源奖励计划SOS捐赠了100万美元，该计划由Linux基金会运营，旨在通过经济激励促进开源项目的安全性提升。

总之，谷歌的呼吁凸显了政府在开源软件安全领域的角色与责任，以及需要通过公私合作解决开源生态系统面临的资金与资源挑战。