以下文章转载自OpenSSF开源安全公众号
作者:Ashwin Ramaswami 和 Stewart Scott
OpenSSF 使命的核心,是认识到开源是基础设施:它为我们所有人都依赖的关键系统提供动力,并应得到相应的保护和投资。但是这个基础设施类比到底意味着什么,它如何帮助开源消费者和决策者?大西洋理事会网络治国倡议的一份新报告有助于阐明这个问题:避免成功陷阱:将开源软件作为基础设施的政策[1]。
通过 Open Source Policy Network,Cyber Statecraft Initiative 召集了开放源码软件开发者、维护者和利益相关者,为开放源码软件制定社区主导的战略和政策建议。在本帖中,我们展示了这份报告的要点。
三个类比
使用三个不同的类比,可以最好地理解“开源是基础设施”的思想。每个类比都有助于决策者、资助者和开发者,更广泛地思考开源软件生态系统的一个方面和相应的政策建议。
-
水管理系统:像水一样,我们都通过其他软件产品消费开源软件包。事实上,软件包甚至被标记为“上游”或“下游”依赖。但是就像人们不能假设地下水是安全的或可永续的一样,开放源码软件的消费者也不能简单地假设它的可永续性或安全性。他们有责任确保他们所使用的操作系统得到良好的支持和安全,并为保护它做出贡献。 -
资本市场:像资本市场一样,开放源码生态系统可能面临复合的系统性风险,特别是当一个开放源码软件项目中的漏洞可能成为下游许多系统的单点故障时。与资本市场的风险一样,这些风险可以通过增加透明度和向消费者及监管者报告来减轻。 -
道路和桥梁:像道路和桥梁一样,开放源码软件构成了许多人依赖的关键基础设施,投资和维护不足导致风险随着时间的推移而积累。对开放源码软件以及道路和桥梁的长期、一致甚至平凡的支持通常比等待灾难性的失败更可取。
接下来呢?
报告总结了以下三类行动,以加强开源生态系统的安全性和可永持续性:
-
鼓励负责任的开放源码软件消费:我们可以通过创建最佳实践[2]和如何为开放源码软件做贡献的指导方针来做到这一点。更具体地说,公司和非营利组织可以为开源软件开发最佳实践标准。NIST 可以制定一个开放源码软件最佳实践框架,联邦政府一般应该建立开放源码项目办公室,以帮助各机构管理其开放源码软件战略、政策和参与。 -
识别和减轻系统风险:重要的是要有资源和努力来识别系统数字风险,包括有针对性的支持的关键开源包。例如,联邦政府内的数字系统风险管理办公室(Office of Digital Systemic Risk Management,ODSRM)可以扮演这样的角色。 -
提供资源时考虑到安全性和可永续性:需要更多的资金来支持开放源码软件——例如,开放源码软件信托基金为开放源码软件代码的安全性和维护,以及开放源码软件社区的健康提供可永续和长期的投资。公司也可以开发一个“收养软件包计划”来提供资源来支持他们所依赖的 OSS 软件包的维护。
将开源软件理解为基础设施不仅有助于优先考虑其长期维护和资金需求,还允许我们从其他类型的基础设施政策中学习,以了解我们如何才能最好地支持开源生态系统。OpenSSF 的开源软件安全动员计划[3]代表了将开源软件作为基础设施进行维护和保护的努力的一部分,但社区中的每个利益相关者(从决策者到用户和维护者)都可以通过更多方式为我们的集体安全做出贡献。
参考资料
避免成功陷阱:将开源软件作为基础设施的政策: https://www.atlanticcouncil.org/in-depth-research-reports/report/open-source-software-as-infrastructure/
[2]最佳实践: https://github.com/ossf/wg-best-practices-os-developers
[3]开源软件安全动员计划: https://openssf.org/oss-security-mobilization-plan/
点击【阅读原文】阅读网站原文。