亚马逊、谷歌等发布开源软件安全白皮书
近日,美政府与37家科技巨头、开源社群召开开源软件安全峰会,并发布《开源软件安全动员计划白皮书》。亚马逊、谷歌、微软、威睿、戴尔、英特尔等科技巨头参加并承诺,在未来两年内,将投入1.5亿元经费解决相关问题。
对此,360天枢智库高级研究员魏小强表示,该计划标志着一个新的和关键的资源汇聚的开始,建立在开源软件基础上的知识、员工和资金充分融合,以进一步支持数字世界开源软件安全的基础设施。这件事给我国的启示是,开源软件安全已经成为信息产业的重要的基础设施,与任何公路或桥梁一样重要,都需要长期进行有组织的维护。
事实上,开源软件一直面临安全风险。360方面曾指出,全球范围内90%以上的云服务器操作系统、80%以上的移动操作系统都基于开源软件。但是由于开源软件开发人员来自不同国家、不同背景,源代码的查看、修改、增加权限较为开放,很容易被植入“后门”。甚至,业界对开源代码很多是直接拿来使用,或只做些小修小补,因此很容易带入未知的安全风险。
而我国银行、能源、国防、医疗、电力等重要行业运行的系统,也大量使用开源软件。如果被恶意利用,足以撼动我国关键信息基础设施的安全。
因此,建设开源软件安全生态势在必行。“开源软件安全是一个影响每个使用软件的组织(包括政府和企业)的问题。要解决如此复杂的问题,单独依靠任何一方都显得力不从心。”魏小强称。
而如何保持持久性则成为开源软件安全生态建设的一大挑战。“该白皮书给我们的启示是,依靠政府、安全公司、科技企业进行协作,从资金、人才和知识三个方面入手,建立一种长远的社区激励机制将具有重要意义。”魏小强认为,具体建议包括建立开源软件安全维护者社区,推动软件安全教育,建立常用和重要的开源软件组件清单并定期进行风险评估,对核心的开源安全组件采用数字签名验证等。
此外,最重要的一点是要激励创新。“开源软件安全问题,说到底还是一个价值创新问题。”魏小强表示,利用社区的力量有组织的构建开源安全社区生态,不断激励创新,把价值回归到社区的贡献者身上,才能持续的解决好软件供应链安全问题。
相关文章
-
亚马逊云科技发布开源软件Palace 亚马逊
日前,亚马逊云科技推出辅助量子计算硬件开发的开源软件Palace,即PAralel、LArge-scaleComputationalElectromagnetics(并行大规模计算电磁学),用于全波电磁模拟的并行有限元软件亚马逊云科技在其量子计算中心使用Palace执行复杂电磁模型的大规模三维模拟,用来支持其量子计算硬件的设计在设计过程中,亚马逊云科技利用了高性能计算(HPC)产品和服务来保证Pa
2024-03-22 14:45 -
突破卡脖子技术:芯片梦
当然,从世界范围看,系统公司造芯也不稀奇,谷歌、华为围绕着自我的业务,都在研制芯片。,过了两个月,在第六届互联网大会上,平头哥宣布,正式开源低功耗微控制芯片设计平台。,在学术界,中科院计算所也研发了一套基于RISC-V、面向开源芯片设计的系统级验证和原型平台SERVE。
2024-03-22 09:15 -
忧贸易限制,全球开源芯片基金会近期将把总部从美国迁往瑞士
据路透社11月25日报道,开源芯片基金会的首席执行官卡利斯塔·雷蒙德(CalistaRedmond)在接受路透社采访时表示,希望确保美国以外的大学,政府和公司可以帮助开发其开源技术。,路透社报道称,RISC-V指令集技术源于加州大学柏克莱分校,后来又得到美国国防部国防高级研究计划局的资助,其开源架构允许任何人自由地用于任何目的。,”他说,RISC-V“很适合华为关于这个异构开放世界的愿景。
2024-03-22 09:15 -
GitHub或正式登陆中国!拟设中国分公司
今年7月,GitHub开始按照国籍对账号进行限制,理由是这些国家违反了美国的贸易控制法律。,没有GitHub,中国公司将无法访问开源软件的代码,从而可能导致程序老旧、难以更新升级。,自2014年以来,美国以外地区开发者数量不断上升,亚洲贡献者群体的年增长率已超过欧洲和北美。
2024-03-22 09:08 -
被微软75亿收购的 GitHub,无法承受失去中国之痛
这将分阶段完成:先设立全资子公司,从雇佣总经理等员工开始,后续可能会探索合资企业、在中国托管GitHub内容的可能性。,它还提供了更多安全感,因为不受美国任何贸易限制的约束”,布雷西亚在一次北京活动上这样说。,成立11年后,GitHub本身成为开源代码的一个象征:它拥有3.5亿美元风投支持,超过2800万开发者在上面建了5700万个代码仓库。
2024-03-22 09:07 -
全球5G竞争升级 开源技术将颠覆游戏规则?
而正当美国采取开源姿态为欧洲企业“充实弹药”之时,中国则将供应链的目光转向了亚洲邻国。,”盛陵海对记者表示,关键是中间的协议怎么制定,想让公司无偿开放核心技术,这生意也没有那么简单。,有消息称,美国官员正在考虑给予税收减免,以帮助开发这项开源技术,吸引更多的厂商加入。
2024-03-22 09:01 -
见证平台系列之一:平台的崛起与机遇
通过iPaaS支撑标准、灵活部署和集成化管理:与老牌中间件厂商Tibco联合打造企业级应用集成(EnterpriseApplicationIntegration)云服务,让用户能通过与自己公司内部的系统如ERP、财务、客户服务甚至其他CRM软件等无缝对接,实现业务流自动化;2018年宣布史上最大一笔交易——以65亿美金收购MuleSoft,一家提供全生命周期API管理和iPaaS服务的上市公司。,
2024-03-22 08:42 -
欧盟要求员工放弃使用WhatsApp和Messenger
新浪科技讯北京时间2月25日晚间消息,据国外媒体报道,欧盟委员会(EC)已告知其所有员工,出于网络安全因素考虑,应放弃使用WhatsApp、FacebookMessenger和苹果Messages等即时通讯应用,转而使用另一款即时消息应用Signal。,”Signal序因其“端到端”加密和开源技术而受到隐私维权人士的青睐。,鲁汶大学(UniversityofLeuven)密码学专家巴特·普雷内尔(
2024-03-22 08:39 -
怀疑开发者在“造核弹”?GitHub不断封禁开源项目
但是可疑的是,这个回应发生在别人把我这篇文章发在HackerNews,引起很多人关注之后。,现在想想,那些在社交媒体上称赞并且向别人推荐GitHub的人该是多么天真啊。,时过境迁,谷歌、苹果、Facebook这样超大平台的出现,使得事情又走向了另一个极端。
2024-03-22 08:25 -
开源:从“复兴”走向“商业化”
最后才是将接口封装及标准化,并让用惯Tensorflow、PyTorch的老手和研究员能借助技术文档,快速上手。,所以,从技术角度,涉及操作系统底层架构、操作性能、用户界面等部分,任何开发者或硬件厂商都可以根据开源代码进行二次开发。,未来在AI、基础设施以及IoT等前沿领域和相关技术上,我们一定会看到更多国内开源项目及科技巨头的行动。
2024-03-22 08:23