![]()
基于对开源软件的依赖性、风险形势和生态系统复杂性的认识,美国已将开源软件安全上升至国家战略高度。本期从顶层设计、法律支撑、建立机制3个方面为您介绍美国在开源软件安全治理中的有关政策。顶层设计:将开源软件安全纳入多层级网络安全战略规划
受Log4Shell等供应链安全事件影响,美国总统拜登上台不久后签署的《关于改善国家网络安全的行政令》(EO14028)就用专门章节阐述了加强软件供应链安全的要求和责任,开启了美国从国家顶层设计层面保护开源软件安全的序幕。此后,开源软件安全接连被纳入从国家到网络防御主管机构的网络安全战略规划中。在国家层面,美国发布的《国家网络安全战略》在具体战略目标中规定联邦政府开发和推动采用提高互联网生态系统安全的解决方案,并与私营部门和开源软件社区合作,投资开发安全软件。作为网络安全战略实施路线图的《国家网络安全战略实施计划》着眼于通过扩大公私伙伴关系以推动设计安全和默认安全技术的开发和应用,提出通过开源软件安全倡议(OS3I)跨部门工作组促进开源软件安全和采用内存安全编程语言。在机构层面,美国网络安全和基础设施安全局(CISA)《2023—2025年战略规划》提出要实现设计安全、默认安全的网络空间生态系统构建,并帮助实现OS3I跨部门工作组确定的优先领域,包括内存安全、通用漏洞披露(CVE)改革及人员教育等。
法律支撑:两党立法提案拟解决开源软件给政府机构和关键基础设施带来的安全风险
为加强开源软件保护,2022年9月,美国民主党、共和党两党合作提出《保护开源软件法案》,旨在解决开源软件给政府机构和关键基础设施带来的安全风险。该法案提出联邦政府应在确保开源软件长期安全上发挥支撑作用,其亮点举措包括以下4个方面。1.要求推行软件物料清单(SBOM)制度,CISA牵头开发风险评估框架,以评估联邦政府及关键基础设施所有者和运营商如何使用开源代码。2.在CISA网络安全咨询委员会内设立“软件安全小组委员会”。3.以现有开源项目办公室(OSPO)为蓝本,在联邦机构内试点建立开源项目办公室。4.要求管理和预算办公室(OMB)向联邦机构发布有关安全使用开源软件的指南。
为更有效地推动开源软件安全保护工作,美国注重明确政府机构在促进开源软件安全方面的责任,建立了政府内外相应沟通协调和合作机制。一是跨部门协调机制。根据《国家网络安全战略》及其实施计划的要求,美国白宫国家网络总监办公室(ONCD)成立了开源软件安全倡议(OS3I)跨部门工作组,目的是确定政策解决方案并引导政府资源,以促进整个生态系统的开源软件安全。通过与CISA等其他机构间合作伙伴的共同研究,OS3I确定了几个重点领域,包括增加内存安全编程语言的扩散应用,设计安全、保护隐私的安全认证实施要求,确定和促进优先考虑的重点领域。二是与开源社区合作机制。美国开源软件安全治理并非完全由政府主导的“自上而下”的模式。相反,开源社区在联邦政府提升开源安全的战略地位之前,就已经开展了许多以安全为核心的保护活动,在促进开源软件生态系统建设中发挥了不可或缺的作用。比如,Linux基金会于2020年8月牵头成立的开源软件安全基金会(OpenSSF),作为跨行业的全球开源安全合作组织,汇集了业界开源安全精英,通过建立开源开发者最佳实践、人工智能/机器学习安全、终端用户、确保关键项目安全、开源项目安全威胁识别、保护软件库安全、供应链完整性、安全工具和漏洞披露等9个专项工作组并开展相关项目,提高开源软件安全性。再比如开源项目办公室(OSPO)的兴起,开源软件安全基金会(OpenSSF)建立的专项工作组和运营的Alpha-Omega、Sigstore等典型开源项目,这些活动都对加强开源生态安全性发挥了一定作用。目前,美国政府在积极构建与开源社区的合作机制,包括与开源社区建立实时合作渠道,鼓励开源社区参与政府部门的开源软件安全战略规划,利用政府的权力和能力扩大开源社区较为成熟的机制与模式的影响力,还通过参与开源社区相关工作组和开源安全峰会的方式促进开源安全生态建设。【摘编自《保密科学技术》2024年3月刊《美国开源软件安全治理研究》一文,作者:高红静、苏力、王盈】
