随着最近披露的Log4j 漏洞的影响,白宫将与美国科技巨头会面,讨论开源软件的安全性。
除了苹果、谷歌、亚马逊、Meta、IBM 和微软之外,拥有和维护 Log4j 库的 Apache 软件基金会、甲骨文、GitHub 和 Linux 开源基金会也将出席与拜登政府的会议。
出席会议的所有科技公司的高管还将与包括商务部、国防部、能源部和国土安全部在内的多个美国政府机构的代表会面。不过,网络安全和基础设施安全局 ( CISA )、美国国家标准与技术研究院和美国国家科学基金会等其他机构也将参加会议。
在给 GitHub 首席安全官TechRadar Pro的一封电子邮件中,Mike Hanely 解释了开源软件对我们日常使用的商业软件和在线服务的重要性,他说:
开源软件是我们日常使用的绝大多数软件的基础——仅仅一两行易受攻击的代码就可以对依赖它的数十亿开发人员和服务产生全球连锁反应。作为全球最大的开发者平台,GitHub 认真对待这些风险,并理解其支持我们平台上数百万开发者保护开源的责任。解决软件供应链安全问题是一项团队运动。通过与政府、学术界、开发人员和其他组织的合作,我们可以共同对软件安全的未来产生重大影响,而今天的讨论是共同保护世界代码的重要一步。
一个关键的国家安全问题
早在去年 12 月,白宫国家安全顾问 Jake Sullivan 就在 Apache 流行的 Java 日志框架 Log4j 中发现了Log4Shell漏洞后,致信美国科技公司的 CEO。
沙利文在信中说,开源软件的安全性是一个关键的国家安全问题,因为它被广泛使用并由志愿者维护。因此,开源软件中的漏洞可能会影响其他产品和项目的负载,正如 2014 年 OpenSSL 中的Heartbleed 缺陷所证明的那样,当时人们认为每三台服务器中就有两台使用了该漏洞。
最近,一位心怀不满的开发人员破坏了 GitHub 上两个广泛使用的开源库,从而取消了数千个开源项目。开发人员引用了这样一个事实,即他不再想为赚取数百万美元的商业公司创建免费代码作为他采取行动的原因。
在接下来的几天里,我们可能会从参加会议的每一家公司以及白宫那里听到更多关于其提高开源项目和软件安全性的计划。
声明:本文部分素材转载自互联网,如有侵权立即删除 。
2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
7. 如遇到加密压缩包,请使用WINRAR解压,如遇到无法解压的请联系管理员!
8. 精力有限,不少源码未能详细测试(解密),不能分辨部分源码是病毒还是误报,所以没有进行任何修改,大家使用前请进行甄别
丞旭猿论坛
暂无评论内容