在Linux基金会的支持下,开放源码安全基金会(OpenSSF)旨在创建一个跨行业的论坛,共同努力提高开放源码软件的安全性。最初的成员名单包括Google、Microsoft、GitHub、IBM、Red Hat等。
随着开源变得越来越普遍,它的安全性已经成为构建和维护关键基础设施的关键考虑因素,这些基础设施支持整个社会的任务关键型系统。现在比以往任何时候都更重要的是,我们要让业界团结起来,共同努力,集中精力推进开源安全的发展。世界的技术基础设施依赖于它。
微软Azure首席技术官Mark Russinovich清楚地解释了为什么开源安全必须是社区的努力:
开源软件本质上是社区驱动的,因此,没有负责质量和维护的中央权威机构。[.]。开源软件也容易受到针对社区本质的攻击,例如攻击者成为项目的维护者并引入恶意软件。鉴于开放源码软件的复杂性和公共性质,构建更好的安全性也必须是一个社区驱动的过程。
OpenSSF将汇集不同的开源安全倡议,首先是核心基础设施倡议(CII)和GitHub的开源安全联盟。此外,它还将成立几个工作组来解决关键的安全问题。这些措施包括漏洞披露,目的是加快修复漏洞和部署修补程序所需的时间;安全工具,目的是改进现有的安全工具并开发新的安全工具;安全威胁识别,重点是创建关键指标,以更好地评估开放源码项目中的每个组件在安全方面的进展情况;以及安全最佳做法。
此外,OpenSSF将致力于帮助关键项目获得保障其安全所需的支持。
无论是专业专家的专门帮助,还是简单地发放资金或云信用,我们都认识到,没有两个项目是相同的,支持可以有多种形式。我们打算与上游维护人员合作,了解他们需要哪些帮助和支持,然后开发可扩展的流程来提供这些帮助。
在其他方面,谷歌和微软宣布加入OpenSSF,并特别关注一些领域,包括共享模式和元数据,以更好地执行安全最佳实践;依赖项管理和风险评估,以将漏洞映射到特定的代码版本;构建验证工具,如其自己的Tekton;以及使用开发人员身份将更改与其作者相关联。
除了加入OpenSSF,GitHub确认了它对开源安全的承诺,并表示将继续投资并构建新的安全功能,免费提供给公共存储库。
InfoQ上上周内容的综述每周二都会发布。加入一个超过25万名高级开发人员的社区。查看示例。
选择您的国家/地区我同意InfoQ.com按照本隐私声明中的说明处理我的数据。