最近 Linux 基金會揭幕 通過博客文章 OpenSSF 的承諾 (開源安全基金會) 用 10 萬美元資助 Linux 基金會,這是提高開源軟件安全性努力的一部分。
提到 籌集的資金來自 OpenSSF 母公司的特許權使用費,包括亞馬遜、思科、戴爾科技、愛立信、Facebook、富達、GitHub、谷歌、IBM、英特爾、摩根大通、微軟、摩根士丹利、甲骨文、紅帽、Snyk 和 VMware。
“這一全行業的承諾響應了白宮的呼籲,即提高我們集體網絡安全福祉的基線,並向開源社區‘付款’,以幫助他們創建我們都喜歡的安全軟件。我們從中受益,” Linux 基金會首席執行官 Jim Zemlin 說。 “我們很高興 Brian Behlendorf 在建設和維護大型社區和技術項目方面的領導能力和豐富經驗應用於這項工作。 隨著開源軟件的巨大增長和普及,創建可擴展的網絡安全計劃和實踐是我們最大的任務。”
本次融資 是行業間合作的一部分 將多個開源軟件計劃匯集在同一目的下 識別和糾正開源軟件中的網絡安全漏洞 並開發改進的工具、培訓、研究、最佳實踐和漏洞披露實踐。
科莫唱片公司 OpenSSF 的工作側重於協調漏洞披露、補丁分發、安全工具開發、最佳實踐發布等領域 用於安全開發組織,識別開源軟件中與安全相關的威脅,審核和加強工作,關鍵任務開源項目,創建驗證開發人員身份的工具。
- 安全記分卡- 一種完全自動化的工具,用於評估與軟件安全相關的許多重要啟發式(“檢查”)。
- 最佳實踐徽章- 來自核心基礎設施計劃的一組最佳實踐,用於生產更高質量的安全軟件,為 OSS 項目提供了一種通過徽章來證明他們遵循它們的方法。
- 安全政策:Allstar 提供一套並在存儲庫或組織中強制執行安全策略。
- 框架: 軟件工件供應鏈級別 (SLSA) 提供了一個安全框架來提高軟件供應鏈完整性的級別。
- 訓練- 關於安全軟件開發基礎知識的免費課程,教育社區成員如何開發安全軟件
- 漏洞披露: OSS 項目協同漏洞披露指南
- 數據包分析: 在 OSS 包中搜索惡意軟件
- 安全檢查- OSS安全補丁公開集合
- 研究- 與哈佛創新科學實驗室 (LISH) 合作開展的開源軟件和關鍵安全漏洞研究(例如,初步普查和 FOSS 貢獻者調查)
La OpenSSF 繼續以中央基礎設施計劃和開源安全聯盟等舉措為基礎 並彙集了加入該項目的公司正在進行的其他與安全相關的工作。
開源安全基金會首席執行官布賴恩·貝倫多夫 (Brian Behlendorf) 表示:“在開源社區工作從未有過如此激動人心的時刻,軟件供應鏈安全也從未需要我們更多的關注。” “保護軟件供應鏈沒有神奇的公式。 研究、培訓、最佳實踐、工具和協作需要我們社區中數以千計的批判性思維的集體力量。 OpenSSF 資金為我們提供了開展這項工作的論壇和資源。
終於 如果您有興趣了解更多信息, 您可以查看原始出版物 以下鏈接。