谷歌投資100億美元推動美國基礎設施網絡安全

谷歌承諾投資100億美元用于強化美國基礎設施網絡安全，其中包括推廣零信任計劃，幫助保護軟件供應鏈和增強開源安全。

該公司將利用自身已經施行多年的幾項計劃，擴展開源模糊測試工具以推動Linux內核開發人員做好安全工作，并推廣使用內存安全的編程語言進行Linux編程。 

本周早些時候，美國總統拜登召集蘋果、谷歌、微軟和摩根大通等業界巨頭共商美國關鍵基礎設施保護大計，谷歌的百億美元網絡安全投資計劃正是在這種背景下拋出的。

此前，為建立供美國聯邦機構實現的零信任設計，美國商務部國家標準與技術研究院（NIST）選擇了18家網絡安全公司。谷歌盡管不是18家所選公司之一，但正與NIST合作開發這方面框架。 

零信任假設網絡已經遭入侵，并將關注重點從鞏固網絡邊界拉回到應用、數據和人本身。  

谷歌基礎設施副總裁Eric Brewer和資深軟件工程師Dan Lorenc在博客文章中寫道：“不同于被動修復漏洞，我們應該通過能夠堵住所有種類漏洞的安全編程語言、平臺和框架主動杜絕漏洞。”

“相較于費勁嘗試修復漏洞及其后果，在問題脫離開發人員鍵盤之前就加以預防更加安全，也更省錢。”

8月25日，美國總統拜登在白宮會見私營產業巨頭，指出僅靠美國聯邦政府無法解決保護關鍵基礎設施不受網絡攻擊侵害的難題。 

近期頻頻爆出的重大網絡攻擊事件，比如Colonial Pipeline勒索軟件攻擊、SolarWinds軟件供應鏈攻擊和微軟Exchange服務器大規模漏洞利用事件，一定程度上推動谷歌和微軟順勢應承拜登的網絡安全行政令，承諾在未來五年內分別投資100億和200億美元，用于改善美國面對未來網絡安全威脅的響應。  

《華盛頓郵報》登載拜登言論稱：“我認為，你們有能力和責任來提升網絡安全水平。最終，我們都有很多工作要做。 

今年6月，Brewer發了四篇文章響應拜登關于加強軟件供應鏈安全的14028號網絡安全行政令。 

其中一篇文章探討C語言編程固有的安全問題，以及Rust語言的興起。 

Brewer寫道：“安全編程語言和應用框架可用于在軟件上施加一種結構，使之能夠實現大規模高置信度安全推理。” 

“但確保現實世界C代碼切實滿足了這一要求卻十分困難，而且常常需要極其艱難地推斷堆內存結構。同樣，確保正確驗證和轉義流入Web應用HTML標記語言的所有數據也很棘手，因為數據從輸入到輸出一路上要流經多個組件，比如流經存儲模式。”

相反，作為系統開發語言，新興的Rust語言在內存安全方面內置了構造安全方法，可切實替換掉C和C++。比如，Rust的類型系統施行所有權機制，確保無法訪問已釋放的內存等。

所以，谷歌支持將Rust作為僅次于C的編程語言納入Linux內核。Lorenc和Brewer解釋稱，應該從一開始就限制軟件漏洞，而不是為應對新漏洞而疲于奔命。微軟和AWS也支持Rust作為C和C++系統編程的內存安全替代。   

谷歌倡導軟件代碼測試，包括使用微軟家GitHub的工具，比如Dependabot——保持開源軟件包或依賴更新的一款工具。 

谷歌還提出，可以將軟件物料清單（SBOM）融入美國官方對軟件供應鏈攻擊的響應當中。在這方面，Linux基金會正在努力踐行拜登的網絡安全行政令。由于現代程序使用了大量庫依賴，開源軟件和專有軟件都不好解決這個復雜問題。 

谷歌稱：“SBOM需要合理的信噪比：如果包含太多信息，就沒什么效果，所以我們敦促NTIA（國家電信與信息管理局）擬定具體用例在粒度和深度方面的最低和最高要求。”