美国总统拜登曾于 2021 年 5 月签署了一项改善网络安全的行政命令。现在，美国联邦网络安全和基础设施安全局 (CISA) 正在这项工作的基础上制定专门用于保护开源软件 (OSS) 的新路线图。

“CISA 认识到开源软件的巨大优势，它使软件开发人员能够加快工作速度并促进重大创新和协作。考虑到这些好处，本路线图列出了 CISA 将如何帮助实现联邦政府内部和外部 OSS 的安全使用和开发。”

根据介绍，该路线图定义了两种主要类型的开源漏洞。首先是广泛使用的开源软件的漏洞的连锁效应，它以 Log4Shell 为例，说明开源软件遭到破坏可能造成的广泛后果。其次是针对开源存储库的供应链攻击，可能会导致下游负面影响，例如开发人员的帐户被盗用以及攻击者利用它来提交恶意代码。

路线图列出了四个关键优先事项，包括：确立 CISA 在支持开源软件安全方面的作用、推动开源使用和风险的可见性、降低联邦政府的风险以及强化更广泛的开源生态系统。

根据 CISA 的说法，这将有助于实现其对开源软件的愿景，即 “每个关键的 OSS 项目不仅是安全的，而且是可持续的和有弹性的，并得到健康、多元化和充满活力的社区的支持。”

供应链安全公司 Chainguard 的联合创始人兼首席执行官 Dan Lorenc 认为，CISA 在细分该领域的问题，然后优先解决这些问题方面做得很好。他们很好地认识到了这项工作需要 “在上游进行，CISA 员工需要直接与社区接触”，不过他仍然对这项工作的具体进展持怀疑态度。

Lorenc 建议政府在实际资助开源项目方面做出一些努力，但目前的路线图根本没有提及这一点。

“政府在帮助直接代码或其他贡献方面并没有很好的声誉，但他们确实有能力帮助资助已经在进行的工作，以实现路线图中的许多项目，如内存安全、漏洞修复和 SBOM 工具。但这里的政府合作模式不能采取 you push, we’ll steer 的方式。”