為了提高開源軟件安全性，Mozilla公司建立了開源基金來幫助開發(fā)人員對(duì)程序進(jìn)行安全審計(jì)，初始資金為50萬美元。

這個(gè)新的安全開源基金（Secure Open Source Fund）是Mozilla開源支持項(xiàng)目的一部分，該項(xiàng)目于2015年10月成立。Mozilla公司公共政策負(fù)責(zé)人Chris Riley在博客中表示Mozilla安全開源基金將會(huì)為某些廣泛使用的開源庫和程序的關(guān)鍵開源軟件項(xiàng)目提供安全審計(jì)、修復(fù)和驗(yàn)證。

“但我們希望這只是一個(gè)開始。我們想要看到很多使用開源軟件的公司和政府加入我們的行列，提供更多的資金支持。我們希望這些開源的受益人可以展望未來，幫助保護(hù)互聯(lián)網(wǎng)，”Riley寫道，“安全是一個(gè)過程，為了取得長遠(yuǎn)效益，我們必須投資于教育、最佳實(shí)踐以及其他主要領(lǐng)域。我們希望這個(gè)基金將提供了一個(gè)短期效益，并推動(dòng)整個(gè)行業(yè)幫助加強(qiáng)開源項(xiàng)目。”

該計(jì)劃包括Mozilla簽訂合同并向?qū)徲?jì)其他項(xiàng)目代碼的專業(yè)安全公司支付費(fèi)用、與項(xiàng)目維護(hù)者合作以支持和修復(fù)漏洞，以及管理信息披露，并支持修復(fù)工作以確保被發(fā)現(xiàn)的漏洞都得到修復(fù)。

Riley寫道，Mozilla想要避免下一個(gè)Heartbleed或Shellshock漏洞，并且已經(jīng)對(duì)這個(gè)漏洞修復(fù)過程進(jìn)行了測試，發(fā)現(xiàn)并修復(fù)了三款開源軟件中的43個(gè)漏洞。

專家非常看好安全開源基金。

華盛頓國際戰(zhàn)略研究中心戰(zhàn)略技術(shù)項(xiàng)目主管兼高級(jí)副總裁James Lewis表示，這種做法很有價(jià)值，因?yàn)槲覀円蕾嚨暮芏啻a都在使用開源軟件。

“這些開源代碼嵌入在商業(yè)產(chǎn)品中，并支持著關(guān)鍵的互聯(lián)網(wǎng)運(yùn)作。而在修復(fù)和更新方面，開源軟件經(jīng)常被忽視，”Lewis寫道，“所有軟件都有可利用的漏洞，這是編碼的本質(zhì)。這些漏洞可能被用于犯罪和攻擊。Mozilla的安全開源基金填補(bǔ)了這個(gè)網(wǎng)絡(luò)安全鴻溝，他們建立激勵(lì)機(jī)制來發(fā)現(xiàn)開源中的漏洞并讓人們修復(fù)這些漏洞。”

SurfWatch實(shí)驗(yàn)室首席安全戰(zhàn)略家Adam Meyer表示：如果正確順利的話，“這個(gè)新的安全開源基金將會(huì)增加軟件供應(yīng)鏈的信任度水平，并降低風(fēng)險(xiǎn)”。

Meyer表示：“無論企業(yè)是否了解，他們很大程度上都在依賴開源碼庫。大量供應(yīng)商整合開源應(yīng)用到自己的產(chǎn)品線中，這意味著很多關(guān)鍵產(chǎn)品可能都在依靠著支持松散的開源應(yīng)用。Heartbleed就是很好的例子。”