為了提高開(kāi)源軟件安全性，Mozilla公司建立了開(kāi)源基金來(lái)幫助開(kāi)發(fā)人員對(duì)程序進(jìn)行安全審計(jì)，初始資金為50萬(wàn)美元。

這個(gè)新的安全開(kāi)源基金(Secure Open Source Fund)是Mozilla開(kāi)源支持項(xiàng)目的一部分，該項(xiàng)目于2015年10月成立。Mozilla公司公共政策負(fù)責(zé)人Chris Riley在博客中表示Mozilla安全開(kāi)源基金將會(huì)為某些廣泛使用的開(kāi)源庫(kù)和程序的關(guān)鍵開(kāi)源軟件項(xiàng)目提供安全審計(jì)、修復(fù)和驗(yàn)證。

“但我們希望這只是一個(gè)開(kāi)始。我們想要看到很多使用開(kāi)源軟件的公司和政府加入我們的行列，提供更多的資金支持。我們希望這些開(kāi)源的受益人可以展望未來(lái)，幫助保護(hù)互聯(lián)網(wǎng)，”Riley寫(xiě)道，“安全是一個(gè)過(guò)程，為了取得長(zhǎng)遠(yuǎn)效益，我們必須投資于教育、最佳實(shí)踐以及其他主要領(lǐng)域。我們希望這個(gè)基金將提供了一個(gè)短期效益，并推動(dòng)整個(gè)行業(yè)幫助加強(qiáng)開(kāi)源項(xiàng)目。”

該計(jì)劃包括Mozilla簽訂合同并向?qū)徲?jì)其他項(xiàng)目代碼的專(zhuān)業(yè)安全公司支付費(fèi)用、與項(xiàng)目維護(hù)者合作以支持和修復(fù)漏洞，以及管理信息披露，并支持修復(fù)工作以確保被發(fā)現(xiàn)的漏洞都得到修復(fù)。

Riley寫(xiě)道，Mozilla想要避免下一個(gè)Heartbleed或Shellshock漏洞，并且已經(jīng)對(duì)這個(gè)漏洞修復(fù)過(guò)程進(jìn)行了測(cè)試，發(fā)現(xiàn)并修復(fù)了三款開(kāi)源軟件中的43個(gè)漏洞。

專(zhuān)家非?？春冒踩_(kāi)源基金。

華盛頓國(guó)際戰(zhàn)略研究中心戰(zhàn)略技術(shù)項(xiàng)目主管兼高級(jí)副總裁James Lewis表示，這種做法很有價(jià)值，因?yàn)槲覀円蕾?lài)的很多代碼都在使用開(kāi)源軟件。

“這些開(kāi)源代碼嵌入在商業(yè)產(chǎn)品中，并支持著關(guān)鍵的互聯(lián)網(wǎng)運(yùn)作。而在修復(fù)和更新方面，開(kāi)源軟件經(jīng)常被忽視，”Lewis寫(xiě)道，“所有軟件都有可利用的漏洞，這是編碼的本質(zhì)。這些漏洞可能被用于犯罪和攻擊。Mozilla的安全開(kāi)源基金填補(bǔ)了這個(gè)網(wǎng)絡(luò)安全鴻溝，他們建立激勵(lì)機(jī)制來(lái)發(fā)現(xiàn)開(kāi)源中的漏洞并讓人們修復(fù)這些漏洞。”

SurfWatch實(shí)驗(yàn)室首席安全戰(zhàn)略家Adam Meyer表示：如果正確順利的話(huà)，“這個(gè)新的安全開(kāi)源基金將會(huì)增加軟件供應(yīng)鏈的信任度水平，并降低風(fēng)險(xiǎn)”。

Meyer表示：“無(wú)論企業(yè)是否了解，他們很大程度上都在依賴(lài)開(kāi)源碼庫(kù)。大量供應(yīng)商整合開(kāi)源應(yīng)用到自己的產(chǎn)品線(xiàn)中，這意味著很多關(guān)鍵產(chǎn)品可能都在依靠著支持松散的開(kāi)源應(yīng)用。Heartbleed就是很好的例子。”