开源安全基金会

2021-03-28 23:38:19

openssf是一种跨行业合作,汇集领导人通过建立更广泛的社区,有针对性的举措和最佳实践来提高开源软件(OSS)的安全性

OpenSSF在一个基础下汇集了开源安全举措,以加速跨行业支持。这是从核心基础设施计划和开源安全联盟开始的,并将包括地址漏洞泄露,安全性工具等的新工作组。

可能有点一点,但首先我们需要对我们一起解决问题的问题,然后将决定如何最好地解决它们作为一个基础。

CII主要由补助金而资助,openssf将由Linux基金会会员会费提供支持,其中有针对性组织的贡献来支持举措。 CII计划为openssf提供资源和经验,并通过其项目审批流程进行工作,由Openssf Tac进行所需项目。从长远来看,CII将在OpenSSF伞下发生的工作来解决努力。

所有OSSC成员及其项目现在都将成为Openssf的一部分。

openssf专注于通过建立一个具有目标举措和最佳实践的更广泛的社区来改善开源软件(OSS)的安全性。它将首先关注指标,工具,最佳实践,开发人员身份验证和漏洞披露最佳实践。将来,有计划将资源集中在哈佛大学实验室创新科学实验室所识别的最关键词的资源上。

openssf是在安全研究人员需要一种机制的前提下建立的,使他们能够协同地解决保护开源安全供应链所需的方法。它认识到,组织内全球的安全研究人员具有共同的兴趣和关注。 openssf促进私人实体,基金会和学术界之间的持续对话和项目工作。

由于开源变得更加普遍,其安全已成为建立和维护关键基础设施的关键考虑因素,这些基础设施在整个社会中支持关键关键系统。它比以往任何时候都更重要,我们将行业带到共同努力的协作和集中的努力中,以推动开源安全的状态。世界的技术基础设施取决于它。

公众善。我们相信开源的安全性是公众的良好,作为一个行业,我们有义务为社区的联邦解决它。

开放性和透明度:我们承诺鼓励所有感兴趣的利益相关者参与基金会及其工作组。基金会的工作将公开。

保持者首先:我们致力于为开放源维护者和开发人员提高开源软件的贡献,提高开源软件的安全性,有意创建资源和工具,以帮助衡量安全改进,使开源生态系统有益于整个开放源生态系统。

多样性,包容性和代表性:我们努力积极邀请,包括来自一系列背景,地点,身份和观点的人,并促进相互尊重和包容性的文化,作为参与的要求

敏捷和交付:我们努力提供具体和有用的输出和工具,以帮助开放源更安全。我们以一种使我们能够从经验和实验中学习,并相应地改善我们的产出来实现。

信用额度到期:我们承诺一项文化,人们的贡献得到认可和公平地承认。

同理心:我们认识并了解彼此的挑战,观点和情况。我们致力于倾听和照顾多种意见的文化。

创始成员是GitHub,谷歌,IBM,JPMorgan Chase,Microsoft,NCC集团,OWASP基础和Red Hat,等等。

漏洞披露:Vision是一个开源软件生态系统,其中时间来修复漏洞和部署在生态系统上的修复,在几分钟内,而不是几个月。为漏洞报告/协调披露和驱动广泛采用创建统一格式和API

安全性工具:我们的使命是为开源开发人员提供最佳安全性工具,并使其普遍访问。我们希望创建一个成员可以共同合作以提高现有安全工具和开发新的空间以满足更广泛的开源社区的需求

识别开源项目的安全威胁:目标是使利益相关者能够对开源项目的安全性充满信心。我们将识别一组关键指标和构建工具(API,Web UI),以将这些指标传达给利益相关者,使这些利益相关者能够更好地了解各个开源组件的安全姿势。

安全最佳实践:目标是提供具有最佳实践建议的开源开发人员。

确保关键项目:目标是在战术工作中执行审计,保证,响应小组,改进和手。

每个WG将有一个相关的技术指导委员会(TSC),并将自我治理,以其各自的技术宪章,Linux基金会内的典型方法,将业务(资金)治理与技术治理分开。

没有,与任何Linux基础努力一样,任何技术努力都对所有人都开放,并且不需要资金参与(就像任何其他开源项目一样)。

理事会(GB)和技术咨询委员会(TAC)都不负责直接管理基金会托管WGS和项目。相反,这些项目的维护者管理它们;这包括定义治理过程。 GB负责预算和TAC整体技术战略。

不,所有与项目相关的决定都由项目维护者提出。维持和治理流程由项目决定,不考虑openssf会员资格。

所有工作都在开放中发生,openssf TAC列出了所有技术计划。

多样性,包容性和代表性是我们的核心价值之一。我们将创造一个包容性文化,并确保每个人都受到尊重和重视。我们将探讨在社区内工作的机会,并与Linux相关努力的基础。

任何人都可以为开源安全基础做出贡献。访问参观:https://openssf.org和https://github.com/ossf