谷歌开源软件安全新规,可能遭开发者抵制
技术编辑:宗恩丨发自 思否编辑部
谷歌认为,开源软件应该比闭源软件更安全,但前提是人们要对其进行检查,而这并不是一项简单的工作。
为了确保未来软件供应链的攻击不会涉及关键的开源软件项目,谷歌的一些顶级工程师提出了新的规范,但这些规范可能会给开源贡献者带来一些问题,如果他们的项目被认为是关键项目。
谷歌表示:「关键性开源软件的建议将增加项目所有者的工作量,因此预计建议会受到阻力,但我们相信额外的约束对于安全来说将起到根本性的保护。我们只是这个领域的其中一种声音,在这个领域,共识和可持续的解决方案是最重要的」
但我们不得不承认谷歌在科技领域是一个强大的声音,它可以影响很多人。谷歌在最新公告中发布了这些目标的建议。
谷歌Go编程语言的主要设计者Rob Pike和Eric Brewer,以及基础设施和谷歌研究员副总裁认为:「业界应该集体定义一组关键软件包,并仅将这些更高的标准应用于这组软件。」
关键开源软件的目标包括:
没有单方面的代码更改,变更需要由两个独立的方面进行代码审查和批准; 对参与者进行认证,这意味着所有者和维护者不能匿名,贡献者需要使用强大的认证(如2FA); 软件的风险变化需要有通知; 实现软件工件的透明化; 创建信任建设过程的方法 。
了解你的软件中的漏洞 防止增加新的漏洞 修复或删除漏洞
评论