提高开源软件安全的十点行动计划
近日,Linux基金会和开源软件安全基金会在37家公司的高管和许多美国官员提供的意见基础上,提出了一个10点行动计划,通过保护开源安全开发、改进漏洞发现和修复,缩短生态系统的补丁响应时间来提高开源软件供应链安全。
计划的10个要点如下:
1.安全培训——向所有人提供基线安全软件开发培训和认证。
2.风险评估——为前10000个(或更多)OSS组件建立一个公开的、供应商中立的、基于客观指标的风险评估仪表板。
3.数字签名——加速在软件版本中采用数字签名。
4.内存安全——通过替换非内存安全语言来消除许多漏洞的根本原因。
5.事件响应——建立OpenSSF开源安全事件响应团队,安全专家可以在响应漏洞的关键时刻介入以协助开源项目。
6.更好的扫描——通过先进的安全工具和专家指导,加速维护人员和专家发现新漏洞。
7.代码审计——每年对多达200个最关键的OSS组件进行一次第三方代码审查(以及任何必要的补救工作)。
8.数据共享——协调全行业的数据共享,以改进有助于确定最关键OSS组件的研究。
9.SBOM无处不在——改进SBOM推动采用的工具和培训。
10.改进的供应链——通过更好的供应链安全工具和最佳实践来增强10个最关键的OSS构建系统、包管理器和分发系统。
值得注意的是,该计划还提出未来两年需要大约1.5亿美元的安全资金,以快速推进针对该计划确定的十个主要问题的解决方案。
一部分OpenSSF社区参与企业共同承诺为实施该计划提供第一笔资金。这些公司是亚马逊、爱立信、谷歌、英特尔、微软和VMWare,认捐超过3000万美元。随着计划的发展,将确定下一步募集的资金。
这些都是OpenSSF社区成员对开源软件的现有投资之上追加的投资。对利益相关者的一项非正式民意调查显示,开源社区花费了超过1.1亿美元并雇用了近百名全职安全人员来专职保护开源软件。该计划进一步增加了这些投资。
参考链接:
