白宫和科技巨头在开源软件安全峰会上说了啥？

本次峰会是白宫国家安全顾问 Jake Sullivan 在2021年召集的，他当时指出，基础开源软件由志愿者维护是“国家安全风险“。

白宫的一名高级官员在会前表示，“本次会议基于Log4j 事件，目的是启动关于改进开源软件安全的重要讨论，并就新协作如何快速推动这种改进进行头脑风暴。”

这名高级官员表示，“开源软件虽然加速了创新并推动了巨大的社会和经济效益，但其广泛使用且由志愿者维护的事实是重大的国家安全风险，正如我们正在经历的 Log4j 漏洞事件。它并非新问题。本次峰会我们将讨论如何解决这个问题，生效的解决方案是什么以及我们还能采取哪些行动来保护我们都在依赖的开源软件安全。”

根据 CyberScoop 的报道可知，参加本次峰会的机构包括技术公司和联邦机构。

参与峰会的技术公司为：Akamai、亚马逊、Apache 软件基金会、苹果、Cloudflare、Facebook/Meta、GitHub、谷歌、IBM、Linux开源基金会、微软、Oracle、RedHat 和 VMware。

参与峰会的联邦机构包括美国商务部、国防部、能源部、国土安全部、网络安全和基础设施安全局 (CISA)、国家标准与技术研究所（NIST）、国家科学基金会、国家网络总监办公室和科技政策办公室。

美国国家网络总监 Chris Inglis 指出，Log4j 的情况 “说明我们有必要改进软件安全以及软件供应链的透明度。”

Apache 软件基金会在会前发布多份文档解释了自己的立场以及解决该漏洞的努力。其中一些文档暗示了该组织对事件响应的辩护，称Log4j 是“Java 平台内多个独立设计功能的不幸组合。“Apache 提到，平台拥有数百个开源项目并监管2.27亿行代码。

在本周一次新闻发布会上，CISA 局长 Jen Easterly 和 CISA 助理执行局长 Eric Goldstein表示，除了比利时国防部遭受的攻击外，未发现“高级别安全事件或攻击活动”。Easterly指出，“可能是因为复杂对手已经利用该漏洞攻击目标，且正在等待网络防御人员的警惕性降低后利用新的访问权限。20217年9月 Euifax 事件就是由当年3月份发现的一个开源软件漏洞造成的。”

Easterly 表示，Log4j 事件后，CISA 正在加速创建“软件物料清单 （SBOM）”，并表示最近聘请曾在商务部牵头网络安全和SBOM的 Allan Friedman 加入工作。Firedman 目前正在协调美国政府内外的SBOM工作。

Esterly 和 Goldstein 还表示这次峰会是他们解决开源安全问题的一个部分措施。Goldstein 表示，“我们优先对这些具体库和组件的开发人员和维护人员提供协助和透明度。我们采取优先级方式，意识到这些组件的普遍性，它们在技术环境中的应用是如此广泛。该漏洞将催生更多的关注、投资，从而获得更好的安全性。”他还指出，尽管尚未看到重大攻击，但网络犯罪分子已经大规模扫描并利用Log4Shell 漏洞，在受害者计算机上安装密币挖掘软件或者将受害者计算机纳入僵尸网络。

McAfee 企业高阶威胁研究负责人 Steve Povolny 指出，已发现Log4j 漏洞的三个变体，他虽然认为之后不会再出现变体，但援引最近发生的 JNDI 问题为例表示，对Log4j 漏洞的大规模担忧促使研究员发现了更多其它问题。他表示，“现在看到的模式可追溯到20年前，我叫它‘救护车追赶‘，实际上这是排除类似漏洞的非常有效的方法。这种情况通常发生在重大的严重漏洞身上，有人发布了exploit 代码后，突然研究行业发现了新的相关目标，因为它很酷，很有话题性。但实际上它是在相同或非常相似的项目和产品中找到类似漏洞类型的好办法。”

峰会结束后，谷歌和IBM 督促技术机构联合识别关键的开源项目。

峰会结束后，谷歌和 Alphabet 公司的全球事务和首席法务官 Kent Walker 指出，“开源软件是很多在线世界的结缔组织——它值得获得像公路和桥梁那样的关注和资助。今天的白宫会议是对挑战的认可也是解决挑战的重要的第一步。”

他表示，政府和私营部门应当协作，共提供资助和管理开源软件。他指出，“我们需要公私合作，根据项目的影响力和重要性找到关键开源项目，这有助于对它们优先进行安全评估和改进并分配资源。

Kent 还呼吁公私实体加大投资，保护开源生态系统安全，尤其是保护基础设施项目中使用的软件安全。多数情况下，资助和审计此类项目的工作由私营行业完成。他表示，“人人都可以免费使用、修改或审查开源软件代码。这就是为何关键基础设施和国家安全系统集成它们的原因。但对于如何维护这些关键代码，并不存在官方资源分配和正式要求或标准。实际上，多数维护并增强开源安全的工作包括修复已知漏洞等都是由志愿者完成的。“

确实，开源开发缺少资助和资源是长期以来的安全问题，而在 Log4j 漏洞爆发后成为重要问题。开源项目获得的资助一般来自非公开来源如个人捐赠或技术公私的资助。最近，谷歌向安全开源 (SOS) 奖励计划资助100万美元，该计划是实验计划，由 Linux 基金会运营，对改进开源项目安全的开发人员提供经济支持。

Walker 还指出，谷歌提议设立一个专门的机构作为开源维护平台，匹配企业中的志愿者和最需要支持的关键项目。他表示谷歌已经做好向这个方向迈进提供资源支持的准备。

IBM 企业安全总监 Jamie Thomas 的观点类似。他表示，峰会“阐明政府和行业可以协力改进开源安全实践。我们可以从以下方面开始着手：鼓励采用开放合理的安全标准、识别应该符合最严格安全要求的关键开源资产、举国上下拓宽开源安全技能培训和教育并奖励在这个领域做出重要贡献的开发人员。“

Apache 软件基金会营销副总裁 Joe Brockmeier 指出，并不存在解决开源供应链固有安全问题的灵丹妙药。他指出，“前进的道路将要求上游企业协助和使用并交付开源软件的组织机构之间进行协作。”

Akamai 补充表示，找到exploit 后，各级政府和技术社区需要构建可靠的防御计划；发现漏洞后要改进各级政府和行业之间的信息共享；扩大政府对解决方案的授权以提升防御能力。

Akamai 公司的首席安全官 Boaz Gelbord 指出，峰会传达的重点之一是，面对不断演进的威胁局势，需要加大对开源社区蓬勃发展的支持。他指出，“作为开源和开放标准的坚定支持者，Akamai 认为需要促进信息共享、强大的漏洞管理以及构建防御计划阻止攻击蔓延。我们希望扩展我们在开源社区的投入，并对会后采取的重要步骤贡献力量。”

GitHub 的首席安全官 Mike Hanley 提到，“一两行易受攻击的开源代码就可以带来全球效应，对数亿开发人员和他们所依赖的服务造成影响。作为全球最大的开发者平台，GitHub 认真对待这些风险，支持平台上数百万开发人员保护开源安全是我们的责任。解决软件供应链安全需要团队合作。今天的讨论是共同保护全球代码安全的重要一步。”

白宫的一名高级官员指出，这次开源峰会是对美国总统拜登在2021年5月12日发布的网络安全行政令工作的继续。该行政令强调关注软件安全并推动美国政府和私营实体做出一系列投入。

该行政令要求，只有使用安全的软件开发生命周期实践的且符合联邦具体安全指南的企业才能向联邦政府出售产品。该行政令还要求联邦厂商使用SBOM，列出具体的软件组件。SBOM 有助于在严重漏洞披露后减少手动的识别流程。

工业网络安全公司 Claroty 的首席信息安全官 Grant Geyer 评论该峰会时表示，严重的开源软件漏洞不会销声匿迹，因为管理员“并不总是知道商业或自研软件应用中的开源组件在哪里。”他还认为，“很多开源项目资源不足且缺少资助，而通常只有发生严重漏洞时这些挑战才会浮出水面。”

Greyer 还表示，“尽管峰会是对Log4j 漏洞发生后做出的反应，但白宫峰会应当推动在重要关键基础设施系统上运行的软件必须具有可见性，并遵守最小安全开发标准。“

aDolus Technology 公司是一家关键基础设施软件情报公司，与CISA及DHS的其它部门具有合作关系。该公司的技术研究和集成副总裁 Ron Brash 认为，开源安全峰会的最大影响在于，公私行业领导者认识到焦点转向供应链，因为当前的软件使用不至于资产所有人和解决方案提供商。

近期，按照行政令的要求，美国国家通信和信息管理局已经列出SBOM的最小元素。CISA 助理执行局长Eric Goldstein 表示CISA 目前正进入将SBOM 落地联邦网络的“运营阶段”。

https://www.theverge.com/2022/1/13/22881813/white-house-tech-summit-apple-google-meta-amazon-open-source-security

https://www.cyberscoop.com/white-house-log4j-open-source-software-security/

https://www.theverge.com/2022/1/13/22882176/google-government-action-protect-open-source-software-funding-security

https://blog.google/technology/safety-security/making-open-source-software-safer-and-more-secure/

https://www.zdnet.com/article/after-log4j-white-house-worries-about-the-next-big-open-source-flaw/

https://www.zdnet.com/article/log4j-after-white-house-meeting-google-calls-for-list-of-critical-open-source-projects/

https://www.bankinfosecurity.com/white-house-hosts-open-source-security-summit-big-tech-a-18304

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    觉得不错，就点个 “在看” 或 "赞” 吧~