白宫与 OpenSSF 和 Linux 基金会一起保护开源软件

　　

<跨风格="颜色:# 000000 ">在近日举办的美国白宫开源软件安全峰会上,Linux基金会和开源软件安全基金会(OpenSSF)与来自37家公司的90多名高管,以及美国政府相关领导人共同讨论了开源安全举措。此次会议距离拜登政府发布改善软件供应链安全的行政命令刚好一周年的时间。

Linux基金会和OpenSSF在会议上呼吁,在两年内提供1.5亿美元的资金来解决十个主要的开源安全问题。包括:

　　<李> 安全教育:向所有人提供基线安全软件开发教育和认证。 　　<李> 风险评估:为前10000个(或更多)OSS组件建立一个公开的,供应商中立的,基于客观指标的风险评估仪表板。 　　<李> 数字签名:加速在软件版本中采用数字签名。 　　<李> 内存安全:通过替换非内存安全语言来消除许多漏洞的根本原因。 　　<李> 事件响应:建立OpenSSF开源安全事件响应团队,安全专家可以在响应漏洞的关键时刻介入协助开源项目。 　　<李> 更好的扫描:通过高级安全工具和专家指导,加速维护人员和专家对新漏洞的发现。 　　<李> 代码审计:每年对多达200个最关键的OSS组件进行一次第三方代码审查(以及任何必要的修复工作)。 　　<李> 数据共享:协调全行业的数据共享,以改进有助于确定最关键OSS组件的研究。 　　<李> 软件物料清单(SBOM)无处不在:改进SBOM工具和培训以推动采用。 　　<李> 改进的供应链:使用更好的供应链安全工具和最佳实践来增强10个最关键的开源软件构建系统,包管理器和分销系统。 　　

不过,美国政府并不会为此提供一分费用.OpenSSF总经理布莱恩Behlendorf在白宫新闻会上表示:“我想说清楚:我们在这里不是为了向政府筹款。我们没有预料到需要直接去找政府来获得资金,任何人都可以成功”。

据悉,亚马逊,爱立信,谷歌,英特尔,微软和VMWare已经承诺提供3000年万美元,亚马逊网络服务(AWS)也宣布增加对OpenSSF的投资,承诺在未来三年内追万加1000美元。

另一方面,谷歌在此次会议上宣布成立“开源维护船员(开源维护小组)”。这是一个由开发人员组成的团队,他们将致力于确保上游开源项目的安全,从收紧配置到部署更新。

更多详情可查看计划文档。

白宫与 OpenSSF 和 Linux 基金会一起保护开源软件