去年，當大家還在為開源的快速發展而歡呼之際，影響了全球數百萬臺計算機Log4j 漏洞事件給開源軟件開發者與使用者敲響了一記警鐘。因而今年，開源軟件及其供應鏈安全成為了國內熱議的開源問題之一，多個開源大會都將開源安全相關議題提到了重要位置。

誰能想到，Log4j 漏洞事件爆發半年多以后余威猶在，并成為了美國兩黨議員近日提出的“保護開源軟件法案”的主要驅動力之一。

這項由美國國土安全和政府事務委員會主席、密歇根州民主黨議員 Gary Peters 和俄亥俄州共和黨議員 Rob Portman 提出的新法案，旨在確保聯邦政府、關鍵基礎設施和其他機構安全可靠地使用開源軟件。該法案也被稱為保護開源軟件法案，立法一旦成功，它將成為聯邦政府更廣泛地支持開源軟件的健康和安全的歷史性一步。

但據國內開源領域相關法律專家向CSDN透露：“該法案更多是為了預防開源軟件帶來的安全問題，目前仍在議案階段，距離成為真正的法律現在是萬里長征第一步。等到真正完成，它將非常值得深度解讀。”

下面一起來了解下該議案的落地動作與提案深意。

開源法案如何落地？

提案者之一 Portman 表示，保護開源軟件法案“將確保美國政府預測并減輕開源軟件中的安全漏洞，以保護美國人最敏感的數據。”一個“軟件安全小組委員會”將在網絡安全和基礎設施安全局 (CISA) 網絡安全咨詢委員會內創建。 

對于如何達成目標，該法案提出了以下幾點要求：

• 它要求CISA“盡最大可能”找到“降低使用開源軟件的系統中的風險”的方法，并聘請經驗豐富的開源專家來解決Log4j等問題。

• 它給了CISA一年時間來發布關于開源代碼風險的框架。一年后，由 CISA 定期對聯邦機構常用的開源代碼組件進行評估。

• 此外，在初始框架發布兩年后，CISA 需要想辦法將它應用于政府以外的關鍵基礎設施，并與一個或多個關鍵基礎設施部門合作。

• 其他機構也將發揮作用，它要求管理和預算辦公室 (OMB) 為機構發布有關如何安全使用開源軟件的指南。 

推動開源發展需要強心針

“開源軟件是數字世界的基石，Log4j 漏洞映證了我們對它的依賴程度。這一事件對聯邦系統和關鍵基礎設施公司——包括銀行、醫院和公用事業公司都構成了嚴重威脅，美國人每天都依賴這些公司提供基本服務，”參議員 Peters 表示。“這項常識性的兩黨立法將有助于保護開源軟件，并進一步加強美國對網絡犯罪分子的網絡安全防御。”

《保護開源軟件法案》是美國首次將開源軟件編入公共基礎設施，立法一旦成功，它將成為聯邦政府更廣泛地支持開源軟件的健康和安全的歷史性一步。著名網絡專家大西洋理事會斯考克羅夫特戰略與安全中心網絡治國術倡議主任 Trey Herr 公開支持了該立法。

但從國家層面推動開源發展并非美國首創。2021 年底，中國首次將開源列入十四五規劃，其中一個重要前提是，我國已成為全球開源生態的重要貢獻力量，參與國際開源社區協作的開發者數量排名全球第二，且使用開源技術的企業占比近90%。但總體而言，國內開源生態建設尚處起步階段，面臨發展基礎較弱、底層技術掌控不足、開源文化氛圍不濃等制約因素。此時，政策與法律的支持無疑是推動開源發展的強心針。

外力+內功的持續修煉

不僅是美國計劃從政策法案著手守護開源，開源安全已經逐漸引發全球的重視。但某些 CISA 官員還是發現，一些行業專業人士已經減少了對開源軟件的使用。雖然許多人認為開源軟件與閉源軟件一樣安全，或者比閉源軟件更安全。

因而，無論是針對開源安全方面的保護法案，還是國家層面的政策支持，對開源發展而言皆是外力，要想更大程度地解決開源安全問題，需要整個開源供應鏈的伙伴們共同努力，才能構建可持續性開源生態。

參考來源：

https://www.hsgac.senate.gov/media/majority-media/peters-and-portman-introduce-bipartisan-legislation-to-help-secure-open-source-software_?continueFlag=c1068e7e0e455bd9923ad0f16a65f620

https://fcw.com/congress/2022/09/bipartisan-senate-bill-aims-safeguard-open-source-software/377511/