谷歌服务承诺项目投资100亿美金用以加强美国基础设施网络安全,主要包括营销推广零信任计划,协助维护手机软件供应链管理和提高开源系统安全性。
该企业将充分利用早已实施很多年的几类计划,拓展开源系统模糊不清检测工具以促进Linux核心开发者搞好安全工作,并推行应用运行内存安全性的计算机语言开展Linux程序编写。
这周稍早,美国美国总统潘基文集结iPhone、谷歌、微软公司和摩根银行等业内大佬商讨美国重要基础设施维护计划,谷歌的百亿美元网络安全项目投资计划恰好是在这样的情况下抛出去的。
先前,为创建供美国联邦政府组织完成的零信任设计方案,美国国家商务部国家行业标准与技术性研究所(NIST)挑选了18家网络安全企业。谷歌虽然并不是18家选定企业之一,但正与NIST联合开发这方面架构。
零信任假定互联网早已遭侵入,并将关心关键从推进互联网界限拉返回运用、数据信息与人自身。
谷歌基础设施高级副总裁Eric Brewer和杰出软件工程师Dan Lorenc在网络文章中写到:“有别于处于被动漏洞修复,大家需要根据可以塞住全部类型系统漏洞的安全性计算机语言、服务平台和架构积极避免系统漏洞。”
“相比于费力试着漏洞修复以及不良影响,在问题摆脱开发者电脑键盘以前就进行防止更为安全性,也更划算。”
8月25日,美国美国总统潘基文在美国白宫见面私营企业产业链大佬,强调只靠美国美国联邦政府没法处理维护重要基础设施不会受到黑客攻击损害的难点。
最近不断曝出的重要黑客攻击事情,例如Colonial Pipeline勒索病毒进攻、SolarWinds手机软件供应链管理进攻和微软公司Exchange网络服务器规模性漏洞检测事情,一定水平上促进谷歌和微软公司趁机应和潘基文的网络安全行政部门令,服务承诺在未来五年内各自项目投资100亿和200亿美金,用以改进美国应对将来网络安全危害的回应。
《华盛顿邮报》刊出潘基文观点称:“我觉得,你们有水平和义务来提高网络安全水准。最后,大家都是有许多工作要做。
2022年6月,Brewer发过四篇文章内容回应潘基文有关加强手机软件供应链管理安全性的14028号网络安全行政部门令。
在其中一篇文章讨论C语言程序编写原有的安全隐患,及其Rust语言的盛行。
Brewer写到:“安全性计算机语言和运用架构可用来在系统上增加一种构造,使之可以完成规模性高置信度安全性逻辑推理。”
“但保证现实世界C编码进一步达到了这一规定却十分困难,并且经常必须极为艰辛地推论堆内存构造。一样,保证恰当认证和转译注入Web运用HTML标记语言的全部数据信息也很繁杂,由于数据信息从键入到輸出一路上要流过好几个部件,例如流过储存方式。”
反过来,做为系统软件开发语言表达,新起的Rust语言在运行内存安全性层面内嵌了结构安全性方式,可进一步更换掉C和C 。例如,Rust的种类系统软件实施使用权体制,保证无法打开已释放出来的运行内存等。
因此,谷歌适用将Rust做为仅次C的计算机语言列入Linux核心。Lorenc和Brewer表述称,应当从一开始就限定手机软件系统漏洞,而不是为解决新系统漏洞而四处奔波。微软公司和AWS也适用Rust做为C和C 系统软件程序编写的运行内存安全性取代。
谷歌提倡手机软件编码检测,包含应用微软公司家GitHub的专用工具,例如Dependabot——维持开源项目包或依靠升级的一款专用工具。
谷歌还明确提出,可以将手机软件物料(SBOM)融进美国官方网对手机软件供应链管理进攻的回应之中。在这方面,Linux慈善基金会已经尽力贯彻潘基文的网络安全行政部门令。因为当代程序流程采用了很多库依靠,开源项目和专用手机软件都不太好处理这一繁杂问题。
谷歌称:“SBOM必须科学合理的频率稳定度:假如包括过多信息内容,就没有什么实际效果,因此大家督促NTIA(我国电信网与信息内容管理处)拟订实际测试用例在粒度分布和高度层面的最少和最大规定。”