白宫和国土安全部启动了一项耗资 1100 万美元的计划,以加强关键基础设施中开源软件的安全性,强调政府、私营部门和网络安全社区之间的合作。
白宫和国土安全部 (DHS) 宣布了一项 1100 万美元的计划,旨在探索和加强医疗、交通和能源生产等关键基础设施领域使用的开源软件 (OSS) 的安全性。这项名为“开源软件普及计划” (OSSPI) 的计划旨在规划开源软件在这些重要领域的使用情况,使联邦政府和私营部门能够加强国家网络安全。
该计划由白宫正式宣布,国家网络总监 Harry Coker上周末在 DEF CON 网络安全会议上分享了更多细节。该计划的一个关键组成部分是组建一个公私合作工作组,该工作组将于今年晚些时候成立,以制定增强 OSS 安全性的战略。尽管目前尚不清楚该计划的具体细节,但白宫去年发布了一份总结报告,其中包含网络安全社区就联邦政府在开源安全方面应关注的领域提出的十几项建议。
报告概述了几项正在进行和计划中的活动,包括:
保护软件包存储库
加强联邦政府与开源社区之间的合作
扩大软件物料清单 (SBOM) 的使用
增强软件供应链的安全性
建立“开源计划办公室”
实施漏洞严重程度指标
推动教育举措
逐步淘汰旧版软件
尽管白宫已澄清,无意惩罚资金不足的开源开发者,但科克反复强调,如果软件制造商优先考虑速度而不是安全性,他们必须承担责任。网络安全和基础设施安全局 (CISA) 局长 Jen Easterly在黑帽网络安全会议上也表达了同样的看法,她主张建立软件责任制度,为优先考虑安全开发实践的供应商提供明确的标准和安全港条款。
评论