长亭百川云 - 文章详情

美国政府公布开源软件可信度评估计划

安全内参

70

2024-08-08

关注我们

带你读懂网络安全

美国CISA正在创建一个框架,以准确衡量和透明传达开源安全项目的可信度。

前情回顾·开源软件安全治理

美国网络防御机构正在创建一个新的框架,以回答网络安全中的一个关键问题:如何准确衡量和透明传达开源安全项目的可信度?

根据网络安全和基础设施安全局(CISA)7月发布的一篇博客文章,该部门正在推进其开源软件安全路线图的目标二,提高联邦政府对开源软件(OSS)使用和风险的可见性。

CISA开源软件安全部门负责人Aeva Black表示,为了评估某些开源软件组件的可信度,可以从代码托管服务和软件包存储库提供的元数据中提取测量指标。Black在博客文章中表示,该机构最新的开源软件工作包括两部分:“创建一个信任衡量框架、扩大框架的使用范围。”

CISA在3月启动了一项旨在加强开源软件生态系统安全的计划。其与开源安全基金会合作,制定了一套原则和最佳实践,以增强存储和维护软件包的在线存储库的安全性。CISA主任Jen Easterly形容开源软件是“美国人每天依赖的关键基础设施的基础”。

基于现有的方法,新的框架关注项目、产品、保护活动和政策这四个维度。

新方法旨在提供开源软件项目中已知漏洞或过时依赖项的透明度,以及开源计划中活跃贡献者的数量或账号所有权的意外变更。该框架还将探讨联邦开源项目的安全细节,例如某些计划是否需要代码审查,是否要求漏洞披露流程,或是否强制执行多因素认证。

CISA还宣布将投资一款名为Hipcheck的开源工具,从而实现开源软件可信度评估的自动化。Black表示,Hipcheck将“将衡量结果整合成有用的输出”,并指出“工具化是使衡量过程可实施和可扩展的必要条件”。

参考资料:govinfosecurity.com

推荐阅读


点击下方卡片关注我们,

带你一起读懂网络安全 ↓

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2