讓開放源碼專案更安全

多個主要開源專案 (如 Heartbleed 與 Shellshock) 中的安全問題,都造成了全球皆知的技術安全漏洞。姑且先不論後續所應面對的嚴肅問題,連到底該如何支援開源軟體的安全,到目前仍是無解的問題,這也是由 32 位安全專家所確認的 2015 年最大隱憂。而 Mozilla 想藉由「安全開源 (Secure Open Source;SOS)」基金來確實滿足目前的需要。

hearbleed-bandage-252x260

針對許多重要的應用與服務,目前有數百萬家企業,以及數千家教育\政府機構正在使用開源軟體。從 Google、微軟 (Microsoft),乃至於聯合國 (UN),開放源碼現已深植入全世界所用的軟體之中。的確,絕大部分的網際網路 ── 甚至包含其支援的網路框架,都是透過開源技術所執行的。隨著網路從單純瀏覽器與瀏覽器之間的連結,漸漸轉變為瀏覽器與其他裝置 (像是車用網路與醫療設備) 的連線,軟體的安全可說更為「生死相關」。

SOS 基金將為重要的開源軟體專案提供安全稽核、修正、驗證等資金來源。而此基金亦屬於 Mozilla 開放源碼支援 (Mozilla Open Source Support;MOSS) 方案的一部分,並已於首輪募得美金 50 萬元,將用以稽核目前廣泛使用的開源專案與函式庫。但我們希望這只是開始而已。期待能看到更多使用開源軟體的公司與政府機構加入我們,提供更充裕的資金。我們期待受益於開源軟體的單位也能有所回報,協助保護網路的安全。

安全是一種長期培養的過程。而為了持續發展其優勢,我們更應該投資於教育、實作,並設法兼顧更多領域。但現下我們希望此基金能帶來短期效果並提高業界動能,協助強化開源專案。

Mozilla 將透過以下 3 步驟,致力滿足並強化開源生態系統的安全:

  • Mozilla 將聯繫專業的安全管理公司,給付其他專案程式碼的稽核作業
  • Mozilla 將與專案維護人員合作,支援並建構修正檔案,更將管理任何漏洞
  • Mozilla 將給付修正作業的後續複驗工作,確保已真正補起漏洞

 

我們已在 3 組開源軟體上開始測試。透過這些稽核作業,我們發現並修正了 43 個錯誤,包含 1 個重要漏洞與 2 個常用圖像檔案格式的問題。此一結果讓我們確認投資正確,也讓我們更了解開放申請的好處。

Mozilla 本就依賴開源軟體,也誠摯邀請更多公司與投資者加入我們,一同守護開源生態系統。如果你是開發者,立刻申請資金協助吧!而若你是投資者,歡迎加入我們。請和 Mozilla 一起對開源系統與網際網路造成更深遠的影響!

 

更多資訊:

 

 

原文連結:Help Make Open Source Secure

 

 

您可能也會喜歡

目前找不到相關文章

共 1 則讀者回應

  1. 參照: 網路安全是共業 | 部落格 | Mozilla Taiwan

對此文章發表回應

你的電子郵件位址並不會被公開。 必要欄位標記為 *