為提高開源軟件安全性，美國採取新舉措

美國網絡安全和基礎設施安全局（CISA）表示，他們將提供更多實踐支持，幫助開源軟件開發者更好地保護項目安全。據報道，本週，CISA與開源軟件社區的領導者及其他聯邦官員共同舉辦了一次為期兩天的峰會，僅限受邀者參加。在這次非公開活動中，該機構進行了可能是首次的桌面演習，以評估政府和開源社區如何應對針對其某個項目的網絡攻擊。

在峰會期間，CISA和一些軟件包存儲庫發佈了新舉措，以幫助確保開源項目的安全。具體來說，CISA正在開發一個新的溝通渠道，供開源軟件開發者分享威脅情報，並在事件發生時向該機構請求援助。同時，Rust基金會正在為其資源庫開發新的公鑰基礎設施，這將有助於確保開發人員上傳的代碼不是惡意代碼，而是來自合法用戶。此外，負責管理JavaScript編程語言的npm正要求項目維護者註冊多因素身份驗證，並推出了一種生成"軟件物料清單"的工具，該工具提供了一份配方清單，列出了項目中的代碼和其他元素。

除此之外，其他軟件源也在積極開展類似的項目，並推出了幫助檢測和報告惡意軟件及其他安全漏洞的工具。Python軟件基金會、Packagist、Composer和Maven Central等都在這方面做出了努力。這些舉措將有助於加強開源軟件生態系統的安全性，使開發者和用戶能夠更加信任和依賴這些開源項目。