最近 Linux 基金会揭幕 通过博客文章 OpenSSF 的承诺 (开源安全基金会) 用 10 万美元资助 Linux 基金会,这是提高开源软件安全性努力的一部分。
提到 筹集的资金来自 OpenSSF 母公司的特许权使用费,包括亚马逊、思科、戴尔科技、爱立信、Facebook、富达、GitHub、谷歌、IBM、英特尔、摩根大通、微软、摩根士丹利、甲骨文、红帽、Snyk 和 VMware。
“这一全行业的承诺响应了白宫的呼吁,即提高我们集体网络安全福祉的基线,并向开源社区‘付款’,帮助他们创建我们都喜欢的安全软件。我们从中受益,” Linux 基金会首席执行官 Jim Zemlin 说。 “我们很高兴 Brian Behlendorf 在建设和维护大型社区和技术项目方面的领导能力和丰富经验应用于这项工作。 随着开源软件的巨大增长和普及,创建可扩展的网络安全计划和实践是我们最大的任务。”
本次融资 是行业间合作的一部分 将多个开源软件计划汇集在同一目的下 识别和纠正开源软件中的网络安全漏洞 并开发改进的工具、培训、研究、最佳实践和漏洞披露实践。
科莫唱片公司 OpenSSF 的工作侧重于协调漏洞披露、补丁分发、安全工具开发、最佳实践发布等领域 用于安全开发组织,识别开源软件中与安全相关的威胁,审核和加强工作,关键任务开源项目,创建验证开发人员身份的工具。
- 安全记分卡- 一种完全自动化的工具,用于评估与软件安全相关的许多重要启发式(“检查”)。
- 最佳实践徽章- 来自核心基础设施计划的一组最佳实践,用于生产更高质量的安全软件,为 OSS 项目提供了一种通过徽章来证明他们遵循它们的方法。
- 安全政策:Allstar 提供一套并在存储库或组织中强制执行安全策略。
- 框架: 软件工件供应链级别 (SLSA) 提供了一个安全框架来提高软件供应链完整性的级别。
- 培训- 关于安全软件开发基础知识的免费课程,教育社区成员如何开发安全软件
- 漏洞披露: OSS 项目协同漏洞披露指南
- 数据包分析: 在 OSS 包中搜索恶意软件
- 安全检查- OSS安全补丁公开集合
- 研究- 与哈佛创新科学实验室 (LISH) 合作开展的开源软件和关键安全漏洞研究(例如,初步普查和 FOSS 贡献者调查)
La OpenSSF 继续以中央基础设施计划和开源安全联盟等举措为基础 并汇集了加入该项目的公司正在进行的其他与安全相关的工作。
“在开源社区工作从未有过如此激动人心的时刻,软件供应链安全也从来不需要我们更多的关注,”开源安全基金会首席执行官布赖恩·贝伦多夫 (Brian Behlendorf) 说。 “保护软件供应链没有神奇的公式。 研究、培训、最佳实践、工具和协作需要我们社区中数以千计的批判性思维的集体力量。 OpenSSF 资金为我们提供了开展这项工作的论坛和资源。
最后 如果您有兴趣了解更多信息, 您可以查看原始出版物 以下链接。