Mozilla 安全开源基金简介

一项支持开源软件项目的安全审计和补救的新举措。

图片来源：

Opensource.com

克里斯·莱利是 Mozilla 的公共政策主管，他在那里负责开放互联网政策倡议和发展。我有机会与克里斯聊了聊 Mozilla 发起的一项名为安全开源基金的新举措。该基金的目标是支持开源软件项目的安全审计和补救。

克里斯，请介绍一下你自己和 Mozilla。

谢谢你，马克。Mozilla 是一家独特的机构——它既是一家非营利性使命驱动型组织，也是一家科技行业公司。我们构建开源软件（最著名的是 Firefox 网络浏览器），并且我们是技术和政治论坛中开放互联网的倡导者。我们一直是隐私和网络中立等知名政策问题的全球领导者，并且我们也非常积极地参与当今的大部分热门话题，包括版权改革、加密和软件漏洞。

我有幸领导 Mozilla 的公共政策团队。我的职业生涯建立在法律和技术背景下的互联网政策之上。（事实上，我是极少数拥有计算机科学博士/法学博士双学位的人之一）。我有时喜欢说我是一位颠覆性的互联网倡导者，你可以随意理解这种内部括号分组。

我了解到 Mozilla 最近推出了一项名为安全开源基金的项目。请介绍一下。

安全开源基金，或称 SOS 基金，是 Mozilla 为支持开源软件项目的安全审计和补救而发起的一项新举措。它是我们更广泛的 Mozilla 开源支持 (MOSS) 计划的一部分，该计划专注于支持开源和自由软件运动。开源软件是互联网的核心，其中大部分是在没有机构支持的情况下开发的。在安全方面，漏洞赏金计划是不够的。它们对 Mozilla 和其他大型组织是成功的，但对于许多开源项目来说，没有资源来支付赏金，或修复出现的问题。

因此，在我们作为首批创建漏洞赏金计划的机构之一的历史基础上，我们创建了 SOS 基金，以帮助填补这一空白。我们的方法是与外部审计公司合作，对项目进行时间点评估，然后为项目维护者提供管理补救的支持。最后，我们与原始审计师合作，验证所做的更改。

在软件安全方面，防御比进攻更难，但我们的经济依赖于安全的网络和系统。我们都需要站出来为未来的互联网安全做出贡献，通过 SOS 基金，我们贡献了我们自己的一些资源。我们鼓励其他人加入我们的行列。就我们而言，我们将继续为组织提供支持，并在前进的道路上吸取教训，以优化我们的实践和流程。

您可以在 Mozilla 博客上了解有关该计划的更多信息。

到目前为止，您最大的成功是什么？

通过我们支持的首批项目，我们学到了很多东西。我认为最大的成功是该项目在其最初的两次迭代中发现了关键和高风险漏洞，然后修复了它们。但最好的故事是关于 JPEG 图像处理库的审计。我们的审计发现了两个问题，最终确定是JPEG 标准本身的问题。换句话说，任何符合参考标准的 JPEG 图像处理库——无论是开源与否，无论来源或上下文如何——都容易受到相同的（低风险）漏洞的影响。具体而言，某些类型的合法图像会触发 CPU 或内存过度消耗，可能导致系统崩溃。

重要的是，也是有趣的，这些漏洞至今仍是未知的。因此，本着贯穿我们工作和该项目的开放精神，我们发布了一份报告，以便其他人也可以修复他们的实现。

Mozilla 处于开源软件领导地位的最前沿。请与我们分享一些未来引起您关注的问题。

感谢您的赞扬！我们认为我们是建立在开放之上，并为开放而生的——通过我们的使命和我们的政策工作，以及通过开源软件。

构建开放的互联网未来对我们来说仍然至关重要，我们看到了“良好”的趋势，例如全球范围内强有力的网络中立保护的采用，美国和欧洲紧随拉丁美洲早期的胜利之后。另一方面，我们看到欧盟委员会正在考虑通过“辅助版权法” 和其他可能会使超链接等正常技术实践处于危险之中的变革。

我们现在关注的一个领域是漏洞均等程序 (VEP)，这是美国政府审查和协调披露其了解或创建的漏洞的程序。几年前，白宫网络安全协调员迈克尔·丹尼尔在一篇博客文章中写道，奥巴马政府倾向于披露漏洞，并给出了一些他在参与该过程时亲自考虑的标准。但是，通过博客文章制定的政策对政府没有特别的约束力，正如丹尼尔甚至承认的那样，“没有硬性规定”来管理 VEP。

自那篇文章发布以来，我们还没有看到漏洞披露的处理方式有所改进。最近的一个例子是影子经纪人涉嫌入侵 NSA，这导致 NSA “网络武器” 的公开泄露，包括政府知道并显然已经利用多年的漏洞。网络安全是一项共同责任，这意味着我们所有人都必须尽自己的一份力量——科技公司、用户和政府。美国政府可以通过制定透明和负责任的政策来确保其适当处理漏洞并将其披露给受影响的公司，从而在尽自己的一份力量方面取得长足进步。我们今天没有看到这种情况发生。然而，通过一些改革，VEP 可以成为确保政府实现正确平衡的强大机制。

更具体地说，我们建议对 VEP 进行五项重要改革