为提高开源软件安全性,美国采取新举措
Lasted 2024-03-08 17:01:51
美国网络安全和基础设施安全局(CISA)表示,他们将提供更多实践支持,帮助开源软件开发者更好地保护项目安全。据报道,本周,CISA与开源软件社区的领导者及其他联邦官员共同举办了一次为期两天的峰会,仅限受邀者参加。在这次非公开活动中,该机构进行了可能是首次的桌面演习,以评估政府和开源社区如何应对针对其某个项目的网络攻击。
在峰会期间,CISA和一些软件包存储库发布了新举措,以帮助确保开源项目的安全。具体来说,CISA正在开发一个新的沟通渠道,供开源软件开发者分享威胁情报,并在事件发生时向该机构请求援助。同时,Rust基金会正在为其资源库开发新的公钥基础设施,这将有助于确保开发人员上传的代码不是恶意代码,而是来自合法用户。此外,负责管理JavaScript编程语言的npm正要求项目维护者注册多因素身份验证,并推出了一种生成"软件物料清单"的工具,该工具提供了一份配方清单,列出了项目中的代码和其他元素。
除此之外,其他软件源也在积极开展类似的项目,并推出了帮助检测和报告恶意软件及其他安全漏洞的工具。Python软件基金会、Packagist、Composer和Maven Central等都在这方面做出了努力。这些举措将有助于加强开源软件生态系统的安全性,使开发者和用户能够更加信任和依赖这些开源项目。