包括国家安全机构使用的软件在内的多数软件包都包含开源软件。由于被广泛使用，且负责持续安全维护的志愿者人数众多，开源软件在带来独特价值的同时，也面临独特的安全挑战。2021年底，Log4j开源软件漏洞席卷全球。2022年1月13日，美国白宫召集了政府和私营部门的利益相关者进行座谈，探讨提高开源软件安全性的举措，以及可迅速推进的新合作方式。

与会者就如何既有效参与和支持开源社区，同时又能改善开源软件的安全性进行了实质性和建设性的讨论。讨论集中在三个方面：防止代码和开源包中的安全缺陷和漏洞，改进查找和修复缺陷的过程，以及缩短分发并完成修复的响应时间。在第一类问题中，与会者讨论了如何将安全特性集成到开发工具中，并保护用于构建、存储和分发代码的基础设施，使开发人员更容易编写安全代码，如使用代码签名或者更强的数字身份等。针对第二类问题，与会者讨论了如何确定最重要的开源项目的优先次序，并建立了维护这些项目的可持续机制。最后，与会者讨论了如何按照拜登总统2021年5月发布的关于网络安全的行政命令的要求，加速和改进软件物料清单（Software Bills of Material）的使用，以更容易地了解购买和使用软件的具体情况。

会议参与者包括负责网络和新兴技术的国家安全副顾问Anne Neuberger、国家网络总监Chris Inglis，以及来自国家网络总监办公室、科技政策办公室、国防部、商务部、能源部、国土安全部、网络安全与基础设施安全局（CISA）、国家标准与技术研究院和国家科学基金会的官员。

受邀出席的企业包括：阿卡迈（Akamai）、亚马逊、Apache软件基金会、苹果、云火炬（Cloudflare）、元宇宙（Meta）、GitHub、谷歌、IBM、Linux基金会、开源基金会、微软、甲骨文、红帽（RedHat）和威睿（VMWare）等头部企业。

所有参与者将在未来几周继续讨论如何支持这些举措，所有感兴趣的公共和私营利益相关方均可参加。

信息来源：

https://www.whitehouse.gov/briefing-room/statements-releases/2022/01/13/readout-of-white-house-meeting-on-software-security/