毫無疑問，開源軟件對于滿足聯(lián)邦任務(wù)所需的開發(fā)和創(chuàng)新至關(guān)重要，因此其安全性至關(guān)重要。

OSS（運(yùn)營支持系統(tǒng)） 支持聯(lián)邦政府內(nèi)的每個關(guān)鍵基礎(chǔ)設(shè)施部門。

聯(lián)邦政府認(rèn)識到這一點(diǎn)，并正在采取措施優(yōu)先考慮 OSS 安全，例如國家網(wǎng)絡(luò)主任辦公室最近的 OS3I 計劃、隨后的公共信息請求以及網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局的開源軟件安全路線圖。

這些舉措將幫助各機(jī)構(gòu)更好地了解、管理和降低我們國家關(guān)鍵基礎(chǔ)設(shè)施所依賴的開源軟件的風(fēng)險。

CISA、政府領(lǐng)導(dǎo)人和行業(yè)合作伙伴等監(jiān)督機(jī)構(gòu)有責(zé)任為 OSS 使用設(shè)定基準(zhǔn)預(yù)期，并確保頂級安全性來保護(hù)機(jī)構(gòu)的關(guān)鍵數(shù)據(jù)——如果機(jī)構(gòu)未能制定明確的標(biāo)準(zhǔn)，這些數(shù)據(jù)可能會受到威脅。

為了大規(guī)模減少漏洞，政府領(lǐng)導(dǎo)人需要優(yōu)先考慮安全性并促進(jìn)開源軟件開發(fā)最佳實(shí)踐。這可以分為三個增強(qiáng)安全性的首要考慮因素：

1. 利用受支持的企業(yè) OSS；

2. 在開發(fā)階段實(shí)施安全設(shè)計實(shí)踐；

3. 利用人工智能。

支持的企業(yè) OSS 提供更高的安全性

與普遍看法相反，并非所有開源軟件都是生而平等的。處理敏感數(shù)據(jù)的聯(lián)邦機(jī)構(gòu)應(yīng)盡可能使用受支持的企業(yè)開源軟件。大規(guī)模使用企業(yè) OSS 免費(fèi)版本的機(jī)構(gòu)無法獲得確保數(shù)據(jù)安全所需的支持級別。即使它們功能豐富，免費(fèi)工具項(xiàng)目也無法大規(guī)模提供可審核、可證明的安全性。

受支持的企業(yè) OSS 提供了更高級別的安全性和監(jiān)管，并對所提供的代碼提供了額外的責(zé)任。它通過質(zhì)量檢查點(diǎn)、自動化測試和可執(zhí)行的 DevSecOps 管道來實(shí)現(xiàn)這一點(diǎn)，以一致地驗(yàn)證對軟件的貢獻(xiàn)。它還可以更好地管理風(fēng)險，并提供增強(qiáng)的可見性、透明度、報告和可審計性功能。

此外，應(yīng)為企業(yè)版 OSS 創(chuàng)建和發(fā)布強(qiáng)化指南和最佳實(shí)踐，以降低風(fēng)險。同行代碼審查是 OSS 社區(qū)開發(fā)中的常見做法。為了提高透明度和安全性，托管 OSS 的平臺應(yīng)該能夠了解同行評審和貢獻(xiàn)批準(zhǔn)者歷史記錄。

公私合作伙伴關(guān)系對于提高軟件開發(fā)過程的問責(zé)制和透明度至關(guān)重要。政府可以向行業(yè)合作伙伴尋求安全開源軟件最佳實(shí)踐的支持。

通過設(shè)計確保 OSS 安全

除了 OSS 安全路線圖之外，CISA 最近還為軟件提供商發(fā)布了關(guān)于安全設(shè)計實(shí)踐的新指南，作為確保 OSS 安全的關(guān)鍵方法。設(shè)計安全的產(chǎn)品在軟件生命周期開始時就將安全性融入其中，而不是事后才考慮或在開發(fā)過程結(jié)束時考慮。

CISA 的指導(dǎo)以及NIST 的安全軟件開發(fā)框架(SSDF)等標(biāo)準(zhǔn)制定的指南，強(qiáng)化了通過設(shè)計保持軟件安全的關(guān)鍵考慮因素，這些因素必須延續(xù)到開源環(huán)境中。具體就 OSS 安全而言，SSDF 充當(dāng)確認(rèn)設(shè)計安全原則的指南，并為 OSS 采用帶來初始信任級別。根據(jù)設(shè)計安全原則，使用軟件的開發(fā)人員和聯(lián)邦領(lǐng)導(dǎo)人應(yīng)考慮使用能夠自動掃描漏洞并具有強(qiáng)大環(huán)境可見性的工具。

政府領(lǐng)導(dǎo)人應(yīng)考慮確保所有軟件設(shè)計安全的另一個工具是軟件物料清單或構(gòu)成軟件的組件清單。SBOM 還包括有關(guān)用于開發(fā)、構(gòu)建和部署軟件工件的庫、工具和流程的關(guān)鍵信息。記錄用于生成 SBOM 的工具以及隨附的數(shù)字證明可以證明工件未被修改。

在開發(fā)階段和選擇受支持的平臺上優(yōu)先考慮安全對于建立和維持信任至關(guān)重要。通過用于構(gòu)建、測試和安全功能的單一 DevSecOps 平臺，也可以更輕松地實(shí)現(xiàn)證明和可信度。

應(yīng)用 AI 增強(qiáng) OSS

聯(lián)邦政府正在通過使用人工智能來擴(kuò)展其能力，這是各機(jī)構(gòu)在 OSS 安全之旅中應(yīng)該考慮的另一個工具。人工智能有能力自動執(zhí)行瑣碎的任務(wù)，并將減輕開發(fā)人員的一些負(fù)擔(dān)，讓他們有更多時間專注于安全性。組織還應(yīng)該不僅僅將人工智能用于代碼開發(fā)，而應(yīng)將其納入整個軟件開發(fā)生命周期，例如向非技術(shù)用戶解釋代碼和提供安全支持。

當(dāng)人工智能集成到軟件開發(fā)生命周期的每個階段時，可以幫助主動防止或減少開發(fā)過程中的審批要求。它還可以應(yīng)用于新代碼和自動測試創(chuàng)建、自動選擇審閱者以及輔助修復(fù)已識別的漏洞。

考慮人工智能的政府機(jī)構(gòu)應(yīng)關(guān)注所使用的模型和平臺、供應(yīng)商透明度和編碼最佳實(shí)踐。人工驗(yàn)證代碼應(yīng)該繼續(xù)成為一項(xiàng)持續(xù)的要求，并輔之以自動安全掃描。

OSS 是軟件開發(fā)的基礎(chǔ)，可促進(jìn)創(chuàng)新并使政府能夠更快地開發(fā)關(guān)鍵項(xiàng)目，為關(guān)鍵基礎(chǔ)設(shè)施提供基礎(chǔ)。遵循 OSS 安全最佳實(shí)踐對于降低風(fēng)險并更好地保護(hù)政府資產(chǎn)至關(guān)重要。

這項(xiàng)事業(yè)不必單獨(dú)完成——聯(lián)邦領(lǐng)導(dǎo)人應(yīng)該尋求激勵政府和行業(yè)之間的有意合作伙伴關(guān)系，以鼓勵合作和問責(zé)。共同努力保護(hù) OSS 對國家安全至關(guān)重要。利用這些考慮因素可以增強(qiáng) OSS 安全性，進(jìn)而使政府能夠針對關(guān)鍵任務(wù)運(yùn)營進(jìn)行創(chuàng)新。