本文共 2183 字,大约阅读时间需要 7 分钟。
nginx mozilla
克里斯·赖利(Chris Riley)是Mozilla公共政策负责人,他致力于开放的互联网政策计划和发展。 我有机会跟Chris一起了解在Mozilla发起的一项名为“ 的新工作。 该基金的目标是支持开源软件项目的安全审核和补救。
克里斯,请介绍一下您和Mozilla。
谢谢马克。 Mozilla是一家独特的机构,既是一家非营利性的任务驱动型组织,又是一家技术行业公司。 我们构建了开源软件(最著名的是Firefox Web浏览器),并且在技术和政治论坛上都是开放互联网的拥护者。 我们一直是隐私和网络中立等知名政策问题的全球领导者,并且我们在当今大多数重大话题(包括 , 和上也非常活跃。
我拥有管理Mozilla的公共政策团队的独特特权。 我的职业是建立在具有法律和技术背景的互联网政策之上的。 (实际上,我是少数几位联合的计算机科学博士学位/ JD之一)。 有时我想说我是一个颠覆性的互联网倡导者,您可以根据自己的喜好来绘制内部括号分组。
我了解Mozilla最近启动了一项名为“安全开源基金”的计划。 告诉我们。
(SOS Fund)是Mozilla的一项新工作,旨在支持开源软件项目的安全审核和补救。 它是我们更广泛的计划的一部分,该计划的重点是支持开源和自由软件运动。 开源软件是Internet的核心,许多软件的开发都没有机构的支持。 在安全方面,仅提供赏金程序是不够的。 对于Mozilla和其他较大的组织来说,它们是成功的,但是对于许多开源项目,没有任何资源可以支付赏金或解决出现的问题。
因此,基于我们作为最早建立漏洞赏金计划的机构之一的历史,我们创建了SOS基金来帮助弥补这一缺口。 我们的方法是与外部审计公司合作,对项目进行时间点评估,然后为项目维护者提供管理补救的支持。 最后,我们与原始审核员合作以验证所做的更改。
在软件安全方面,防御比进攻要难,但我们的经济取决于安全的网络和系统。 我们所有人都需要加强并为未来的互联网安全做出贡献,并且借助SOS基金,我们已经贡献了自己的一些资源。 我们鼓励其他人加入我们的运动。 就我们而言,我们将继续为组织提供支持,并在学习过程中优化我们的实践和流程。
您可以在Mozilla博客上 。
到目前为止,您最大的成功是什么?
我们支持的为我们提供了很多知识。 我认为最大的成功是该项目在其前两次迭代中已经确定了关键漏洞和高评级漏洞,然后对其进行了修复。 但是最好的故事是对JPEG图像处理库的审核。 我们的审核发现了两个问题,这些问题最终被确定为JPEG标准本身存在问题。 换句话说,任何参考标准兼容的JPEG图像处理库(无论是开源的还是不开源的,无论其来源或上下文如何)都受到相同(低级)漏洞的威胁。 具体来说,某些类型的合法映像会触发CPU或内存过度消耗,从而可能导致系统崩溃。
重要的和有趣的是,这些漏洞迄今仍是未知的。 因此,本着遍及我们工作和项目的开放精神,我们 ,以便其他人也可以修复其实现。
Mozilla处于开源软件领导地位的最前沿。 与我们分享一些引起您注意的未来问题。
谢谢你! 我们喜欢认为我们建立在开放的基础之上,并为之开放,这是通过我们的使命和政策工作,以及开放源码软件所实现的。
建立互联网的开放未来对我们而言仍然至关重要,而且我们看到了“良好”趋势,例如全球采用了强大的网络中立保护措施,而美国和欧洲则紧随其后。 另一方面,我们看到像欧洲委员会这样的努力正在考虑以及其他改变,这些改变会使受到危害。
现在,我们关注的重点之一是漏洞股权流程(VEP),这是美国政府审查和协调其了解或创建的漏洞披露的流程。 几年前,白宫网络安全协调员迈克尔·丹尼尔(Michael Daniel)在一篇中写道,奥巴马政府有一个公开披露漏洞的推定,并提供了他在参与该过程时个人考虑的一些标准。 但是,博客文章中的政策对政府并没有特别的约束力,正如丹尼尔甚至承认的那样,“没有严格的规则来管理VEP。”
自该职位发布以来,我们从未发现漏洞披露的处理方式有所改善。 最近的一个例子是所谓的影子经纪人入侵NSA,导致NSA“网络武器”公开发布。 包括政府知道并且显然已经利用多年的漏洞。 网络安全是一项共同的责任,这意味着我们所有人都必须尽自己的本分—技术公司,用户和政府。 美国政府可以通过采取透明和负责的政策来确保其能够适当地处理漏洞并将漏洞披露给受影响的公司,从而在发挥自己的作用方面大有帮助。 我们今天看不到这种情况。 然而,通过一些改革,VEP可以成为确保政府达到适当平衡的强大机制。
更具体地说,我们建议对VEP进行五项重要的改革:
- 所有安全漏洞都应通过VEP,并且应该有公共时间表来审查决策以延迟披露。
- 参与VEP的所有相关联邦机构必须共同评估一套标准标准,以确保考虑到所有相关的风险和利益。
- 必须建立对VEP流程和程序的独立监督和透明性。
- VEP执行秘书处应该居住在国土安全部内,因为他们已经通过现有的协调漏洞披露程序(例如,美国CERT)建立了重要的专业知识,基础架构和信任。
- VEP应该在法律上进行编纂,以确保合规性和持久性。
在接下来的几个月中,我们将重点关注这一领域,因为这些变化将改善当今的网络安全状况。
翻译自:
nginx mozilla
转载地址:http://czfzd.baihongyu.com/