在近日舉辦的美國白宮開源軟體安全峰會上,和 (OpenSSF) 與來自 37 家公司的 90 多名高管、以及美國政府相關領導人共同討論了開源安全舉措。此次會議距離拜登政府釋出改善軟體供應鏈安全的行政命令剛好一週年的時間。
Linux 基金會和 OpenSSF 在會議上呼籲,在兩年內提供 1.5 億美元的資金來解決十個主要的開源安全問題。包括:
- 安全教育:向所有人提供基線安全軟體開發教育和認證。
- 風險評估:為前 10,000 個(或更多)OSS 元件建立一個公開的、供應商中立的、基於客觀指標的風險評估儀表板。
- 數位簽章:加速在軟體版本中採用數位簽章。
- 記憶體安全:通過替換非記憶體安全語言來消除許多漏洞的根本原因。
- 事件響應:建立 OpenSSF 開源安全事件響應團隊,安全專家可以在響應漏洞的關鍵時刻介入協助開源專案。
- 更好的掃描:通過高階安全工具和專家指導,加速維護人員和專家對新漏洞的發現。
- 程式碼審計:每年對多達 200 個最關鍵的 OSS 元件進行一次第三方程式碼審查(以及任何必要的修復工作)。
- 資料共用:協調全行業的資料共用,以改進有助於確定最關鍵 OSS 元件的研究。
- 軟體物料清單 (SBOM) 無處不在:改進 SBOM 工具和培訓以推動採用。
- 改進的供應鏈:使用更好的供應鏈安全工具和最佳實踐來增強 10 個最關鍵的開源軟體構建系統、包管理器和分銷系統。
不過,美國政府並不會為此提供一分費用。OpenSSF 總經理 Brian Behlendorf 在白宮新聞會上表示:"我想說清楚:我們在這裡不是為了向政府籌款。我們沒有預料到需要直接去找政府來獲得資金,任何人都可以成功"。
,亞馬遜、愛立信、谷歌、英特爾、微軟和 VMWare 已經承諾提供 3000 萬美元;Amazon Web Services (AWS) 也增加對 OpenSSF 的投資,承諾在未來三年內追加 1000 萬美元。
另一方面,谷歌在此次會議上宣佈成立「Open Source Maintenance Crew(開源維護小組)」。 這是一個由開發人員組成的團隊,他們將致力於確保上游開源專案的安全,從收緊設定到部署更新。
更多詳情可。