為了提高開源軟件安全性,Mozilla公司建立了開源基金來幫助開發(fā)人員對程序進行安全審計,初始資金為50萬美元。
這個新的安全開源基金(Secure Open Source Fund)是Mozilla開源支持項目的一部分,該項目于2015年10月成立。Mozilla公司公共政策負責人Chris Riley在博客中表示Mozilla安全開源基金將會為某些廣泛使用的開源庫和程序的關鍵開源軟件項目提供安全審計、修復和驗證。
“但我們希望這只是一個開始。我們想要看到很多使用開源軟件的公司和政府加入我們的行列,提供更多的資金支持。我們希望這些開源的受益人可以展望未來,幫助保護互聯(lián)網(wǎng),”Riley寫道,“安全是一個過程,為了取得長遠效益,我們必須投資于教育、最佳實踐以及其他主要領域。我們希望這個基金將提供了一個短期效益,并推動整個行業(yè)幫助加強開源項目。”
該計劃包括Mozilla簽訂合同并向審計其他項目代碼的專業(yè)安全公司支付費用、與項目維護者合作以支持和修復漏洞,以及管理信息披露,并支持修復工作以確保被發(fā)現(xiàn)的漏洞都得到修復。
Riley寫道,Mozilla想要避免下一個Heartbleed或Shellshock漏洞,并且已經(jīng)對這個漏洞修復過程進行了測試,發(fā)現(xiàn)并修復了三款開源軟件中的43個漏洞。
專家非??春冒踩_源基金。
華盛頓國際戰(zhàn)略研究中心戰(zhàn)略技術項目主管兼高級副總裁James Lewis表示,這種做法很有價值,因為我們依賴的很多代碼都在使用開源軟件。
“這些開源代碼嵌入在商業(yè)產(chǎn)品中,并支持著關鍵的互聯(lián)網(wǎng)運作。而在修復和更新方面,開源軟件經(jīng)常被忽視,”Lewis寫道,“所有軟件都有可利用的漏洞,這是編碼的本質。這些漏洞可能被用于犯罪和攻擊。Mozilla的安全開源基金填補了這個網(wǎng)絡安全鴻溝,他們建立激勵機制來發(fā)現(xiàn)開源中的漏洞并讓人們修復這些漏洞。”
SurfWatch實驗室首席安全戰(zhàn)略家Adam Meyer表示:如果正確順利的話,“這個新的安全開源基金將會增加軟件供應鏈的信任度水平,并降低風險”。
Meyer表示:“無論企業(yè)是否了解,他們很大程度上都在依賴開源碼庫。大量供應商整合開源應用到自己的產(chǎn)品線中,這意味著很多關鍵產(chǎn)品可能都在依靠著支持松散的開源應用。Heartbleed就是很好的例子。”