谷歌呼吁政府介入并保护关键的开源项目,以避免Log4j漏洞重演在峰会后不久,谷歌与Alphabet全球事务总裁兼首席法务官肯特·沃克(KentWalker)在一篇博文中表示,政府之间的合作开源资金和治理需要私营部门。“我们需要公私合作伙伴关系来确定关键开源项目的清单——关键基于项目影响和重要性——以帮助为最基本的安全评估和改进确定优先级和分配资源”。该博文还呼吁增加公共和私人投资,以确保开源生态系统的安全,尤其是在基础设施项目中使用软件时。在大多数情况下,此类项目的资助和审查由私营部门进行。截至发稿时,白宫尚未回应置评请求。Walker写道:“OSS代码向公众开放,任何人都可以免费使用、修改或检查。......这就是为什么关键基础设施和国家安全系统的许多方面都使用它的原因。但没有官方的资源分配,也没有维护此关键代码安全的任何正式要求或标准。事实上,大多数维护和加强开源安全性的努力,包括修复已知漏洞,都是在临时、自愿的基础上完成的。在“.”的基础上完成。在Log4jJava库中发现一个严重漏洞后,开源开发缺乏资金和资源已成为一个长期存在的安全问题,该漏洞迅速成为近年来最大的网络安全漏洞。Log4j库也主要由无偿劳动开发和维护。当开源项目确实获得资金时,通常来自私人来源,例如个人捐赠或科技公司的赞助。谷歌最近向安全开源(SOS)赏金计划捐助了100万美元,这是Linux基金会正在进行的一项试点计划,旨在为致力于提高开源项目安全性的开发人员提供经济补偿。
