【原】美国联合37家科技巨头共同发布《开源软件安全动员计划白皮书》

为解决开源软件安全这项特殊的挑战，近期，科技大厂、开源社群与美政府持续商讨，如今已有具体行动，在两次峰会举办之后，《开源软件安全动员计划白皮书》正式发布，首年投入经费将达6,840万美元，次年为7,950万美元。

面对开源软件安全的议题，全球都在关注，如今美国政府与科技巨头正积极采取行动，希望能改善相关风险。今年1月，美国白宫曾举行开源软件安全峰会，邀请多家科技巨头，商讨这个独特的安全挑战，近期，5月中旬二度举办开源软件安全峰会，这场会议，由Linux基金会与开源安全基金会（OpenSSF）召开，集结37家科技巨头的高层主管，以及美国白宫等多个联邦机关官员，共90人参会，这次会议不仅达成很多的共识，并具体指出将解决开源软件的十大挑战，同时这些科技巨头也承诺，在未来两年内，将投入1.5亿元经费解决相关问题。

值得一提的是，这次会议的召开时间可以说是别具意义，去年同一时间，美国总统拜登签署了一份改善国家网路安全的行政命令EO 14028中，就包括了提高开源软件供应链的安全。

参与这次会议的成员，来自多个重量级行业从业者，包括亚马逊、谷歌、微软、威睿、戴尔、英特尔、摩根大通、GitHub等，同时也有多个美国政府机关的官员出席，包括来自美国白宫、美国国家安全委员会（NSC）、美国网路安全及基础设施安全局（CISA）、美国国家标准暨技术研究院（NIST）、白宫网路主任办公室（ONCD）、能源部（DOE）与美国行销管理和预算局（OMB）的官员。这样的组合，其实也显现出开源社群、科技巨头，以及美国联邦政府之间加强合作的态势与重要性。

面对开源软件安全议题，聚焦解决10大问题

该如何改善开源软件安全？Linux基金会与开源安全基金会在收集多方意见后，现已发布首个广泛解决开源软件安全的计划项目，名为"开源软件安全动员计划"（The Open Source Software Security Mobilization Plan），当中最受关注的焦点就是，不仅详细说明解决开源软件的3大议题与10大问题，也公布解决各项问题将投入的经费。

基本上，在首次开源软件安全峰会上，当时讨论了3个主要目标，包括：首先，确保开源软件生产的安全，重点放在防止程式码与开放原始码套件（Open Source package）的缺陷与漏洞；其次，改善漏洞发现与修补；最后，缩短整个生态体系的修补应变时间。

如今，随着第二次开源软件安全峰会的召开，现已进一步总结出开源软件十大问题，分别是：（一）安全教育、（二）风险评估、（三）数位签章、（四）记忆体安全、（五）资安应变、（六）强化扫描能力、（七）程式码稽核、（八）资料分享、（九）软件物料清单SBOM，以及（十）供应链改善。

具体而言，以确保开源软件生产安全的目标而言，在安全教育面向，透过教育与认证让所有人提升安全软件开发的水准；在风险评估面向上，为最热门的1万个或更多开源软件元件建立一个公开、中立且基于客观指标的风险评估仪表板；在数位签章方面，加速软件发布采用数位签章；在记忆体安全方面，透过替换「不具记忆体安全（non-memory-safe）」的程式语言，来消除许多漏洞的根源。

针对改善漏洞发现与修补的目标而言，在网安应变方面，强调建立OpenSSF开源安全事件回应小组，网安专家可在应对漏洞了解关键时刻介入协助开源项目；在强化扫描能力面向，透过进阶的安全工具与专家指引，加速开源项目维护者与专家对新漏洞的发现；在程式码稽核方面，每年将针对两百多个关键的开源软件元件，进行一次第三方程式码审查以及必要的修补工作；在资料分享方面，将协调所有产业共享相关资料，帮助确定出最关键的开源软件元件并改善研究。

以缩短整个生态体系的修补应变时间的目标而言，在软件物料清单方面，将改善SBOM工具，并且推动这类工具的培训与采用；在供应链改善方面，将运用更好的供应链安全工具与最佳实践，来强化10个最关键的开源软件开发系统、套件管理器与部署系统。

特别的是，这次计划已确定改善这十大问题的投入经费，其中，对于「强化扫描能力」一项的首年投入金费最高，达1,500万美元，后续每年投入1,100万美元，「程式码稽核」的首年投入金额也达1,100万美元，后续每年将投入更多，达4,200万美元。

整体而言，为解决这十大问题，这项计划的首年投入经费将达到6,840万美元，次年将为7,950万美元。

目前，在这1.5亿美元的经费中，已由亚马逊、爱立信、谷歌、微软、威睿共同认捐超过3,000万美元，作为此计划的前期资金。

自今年一月白宫召开开源软件安全峰会后，近日Linux基金会与开源安全基金会（OpenSSF）二度召开此会议，同时发布了开源安全动员计划白皮书，具体商讨出强化开源软件安全需解决10大问题。

美国解决开源软件安全十大问题的经费配置

Linux基金会，iThome整理，2022年5月

在开源软件安全动员计划白皮书中，针对解决开源软件安全的10大问题，都提供了详细的说明。以第一项安全教育而言，当中指出，从历史上看，传统的软件工程课程很少关注、强调，或是通过良好的网络安全教育与安全Coding技术的重要性。因此，OpenSSF提出了以下多管齐下的方法来解决这个问题，包括：收集与策划内容、扩大培训，以及并奖励与激励开发者。同时，白皮书中也具体拟定出各项问题所需花费的预算。这十项内容均值得国内思考。