美国政府公布开源软件可信度评估计划
关注我们
带你读懂网络安全
美国CISA正在创建一个框架,以准确衡量和透明传达开源安全项目的可信度。
前情回顾·开源软件安全治理
美国网络防御机构正在创建一个新的框架,以回答网络安全中的一个关键问题:如何准确衡量和透明传达开源安全项目的可信度?
根据网络安全和基础设施安全局(CISA)7月发布的一篇博客文章,该部门正在推进其开源软件安全路线图的目标二,提高联邦政府对开源软件(OSS)使用和风险的可见性。
CISA开源软件安全部门负责人Aeva Black表示,为了评估某些开源软件组件的可信度,可以从代码托管服务和软件包存储库提供的元数据中提取测量指标。Black在博客文章中表示,该机构最新的开源软件工作包括两部分:“创建一个信任衡量框架、扩大框架的使用范围。”
CISA在3月启动了一项旨在加强开源软件生态系统安全的计划。其与开源安全基金会合作,制定了一套原则和最佳实践,以增强存储和维护软件包的在线存储库的安全性。CISA主任Jen Easterly形容开源软件是“美国人每天依赖的关键基础设施的基础”。
基于现有的方法,新的框架关注项目、产品、保护活动和政策这四个维度。
新方法旨在提供开源软件项目中已知漏洞或过时依赖项的透明度,以及开源计划中活跃贡献者的数量或账号所有权的意外变更。该框架还将探讨联邦开源项目的安全细节,例如某些计划是否需要代码审查,是否要求漏洞披露流程,或是否强制执行多因素认证。
CISA还宣布将投资一款名为Hipcheck的开源工具,从而实现开源软件可信度评估的自动化。Black表示,Hipcheck将“将衡量结果整合成有用的输出”,并指出“工具化是使衡量过程可实施和可扩展的必要条件”。
参考资料:govinfosecurity.com
推荐阅读
点击下方卡片关注我们,
带你一起读懂网络安全 ↓
