美国网络安全和基础设施安全局 (CISA) 周二发布了一份新文件,详细介绍了其支持开源软件(OSS)生态系统并确保联邦机构使用OSS的计划。据该机构称,任何人都可以访问、修改和分发的OSS可以驱动更高质量的代码并促进协作,但也通过Log4Shell等影响广泛的漏洞带来高风险。CISA的开源软件安全路线图,详细介绍了保护OSS生态系统的优先事项,具体方法是确定该机构在这一努力中的角色、提高开源软件的使用和风险的可见性、降低联邦机构的风险并强化生态系统。CISA指出,联邦机构和关键基础设施组织极大地依赖OSS,根据最近的一份 Synopsis 报告,几乎可以在各个部门的所有研究代码库中找到 OSS。CISA指出:“根据国家网络安全战略'更具弹性、公平和可防御的网络空间’的目标,CISA展望了一个繁荣的未来,安全、弹性的技术将成为我们世界的支柱。开源软件作为技术构建基础的一部分,促进显着增长,是未来的关键。”该机构表示,保护OSS基础设施的安全至关重要,首先要了解相关的漏洞和攻击。OSS中的安全缺陷会产生特别广泛的后果,CISA决心帮助减少可利用错误的流行并援助响应人员。同时,CISA提请人们注意OSS组件的恶意攻击,这通常会导致下游受到攻击。正如路线图文件中详述的那样,CISA将与OSS社区合作,以更好地了解生态系统并推动协作,同时还将鼓励包管理器和代码托管服务采取行动,与国际合作伙伴合作,并增强其OSS安全专业知识,同时建立内部 CISA开源软件安全工作组。该机构还致力于确定最常用于支持联邦机构和关键基础设施实体内关键职能的OSS库,并将利用这些信息来了解风险并确定缓解和降低风险工作的优先顺序。为了降低联邦机构面临的风险,CISA将评估确保OSS使用安全的解决方案,制定开源项目办公室 (OSPO) 最佳实践指南,并将继续致力于确定有助于提高OSS安全性和弹性的政策和资源。此外,CISA 将致力于强化更广泛的OSS生态系统,主要关注联邦政府和关键基础设施内使用的关键OSS组件的安全性。它还将扩大其 SBOM工作,支持OSS开发人员的安全教育,发布OSS安全使用最佳实践指南,并将继续协调漏洞披露和OSS缺陷响应。
|