CISA 发布开源软件安全路线图

聚焦源代码安全，网罗国内外最新资讯！

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

周二，美国网络安全和基础设施局 (CISA)发布新文档，详述了支持开源软件 (OSS) 生态系统以及保护联邦机构安全使用OSS的计划。

CISA 指出，OSS 可由任何人访问、修改和分发，促成更高质量的代码并推进相互协作，但同时通过影响广泛的漏洞如 Log4Shell 造成较高风险。

CISA 发布《开源软件安全路线图》详细说明了保护OSS生态系统的优先事项，通过设立CISA的角色，推动对OSS使用和风险的可见性，降低对联邦机构的风险并加固开源生态系统的安全性。

CISA提到，联邦机构和关键基础设施组织机构大大依赖于OSS。而OSS可见于多种行业几乎所有的代码库中。CISA指出，“按照国家网络战略构建‘更具弹性、更公平和更具抵御力的网络空间’的目标，CISA希望建立一个繁荣的未来，届时安全、具有弹性的技术是世界的支柱。促进技术所构建根基的重大增长的开源软件是这一未来的关键。”

CISA 指出，保护OSS基础设施安全至关重要，而这一切始于对相关漏洞和攻击的理解。

OSS中的安全缺陷会造成尤其广泛的影响，CISA 致力于助力降低可利用漏洞的普遍性并为响应者提供协助。同时，CISA 提醒关注对一般会导致下游攻陷的OSS组件的恶意攻陷。

该路线文档指出，CISA 将与OSS 社区一道更好地了解OSS生态系统并推动相互协作，同时将鼓励包管理器和代码托管服务采取措施，加强与国际合作伙伴的协作，提升其OSS安全专业能力，并在CISA建立内部开源软件安全工作组。

CISA 还专注于识别为支持联邦机构和关键基础设施实体中关键功能而最常用的OSS库，将通过这一信息了解风险并优先实施缓解和风险降低措施。

为降低对联邦机构的风险，CISA 将评估保护OSS使用安全的解决方案，开发开源计划办公室 (OSPO) 最佳实践指南，并继续识别可帮助提升OSS安全性和弹性的策略和资源。

另外，CISA将继续加固更广范围OSS生态系统的安全性，主要关注于联邦政府和关键基础设施中所使用的关键OSS组件的安全性。它还将拓宽SBOM工作，支持对OSS开发人员的安全教育，发布OSS安全使用最佳实践指南，并继续协调OSS漏洞的披露和响应。

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com