編譯 | 胡雨晴,責編 | 唐小引
出品 | CSDN開源實驗室
頭圖 | 視覺中國
今天,開源已經成為了全球技術應用的基礎設施,據 Gartner 調查顯示,99% 的組織在其 IT 系統中都使用了開源軟體。不過,與此相伴的是一直以來開源的安全風險都是許多企業及開發者擔憂的所在。據此前安全公司 WhiteSource 發布的報告統計,在過去的一年裡,開源安全漏洞的數量再破記錄,同比增長近 50%。
解決開源的安全問題迫在眉睫,全球最大的代碼託管平台 GitHub 便一直在努力,其官方表示,開源的安全性對軟體的未來至關重要,在 2019 年 GitHub 收購了 Dependabot 和 Semmle,並將這些安全工具免費提供給公共存儲庫,同時,GitHub 還通過創建 GitHub Security Lab 和 Open Source Security Coalition 來支持開源開發者和維護者的安全工作,截至目前,這些舉措已經幫助在開源軟體中發現了 120 多個 CVE。
現在,我們在保護開源安全性上迎來了更強有力的保障。
近日,Linux 基金會聯合包括微軟與 GitHub、Google、IBM、紅帽(Red Hat)、英特爾(Intel)、VMware、優步(Uber)等在內的多家軟硬體企業一起,共同成立了 Open Source Security Foundation(開源安全基金會,簡稱 OpenSSF),OpenSSF 官方表示,這是一項跨行業的協作,將行業領導者們聚集在一起,通過建立具有針對性的計劃和最佳實踐的更廣泛的社區,以提升開源軟體的安全性。
OpenSSF 官方表示,開源軟體已在當今的技術中變得普遍,從數據中心到消費者設備,其使用範圍廣泛。但由於大多數開源軟體項目都非常複雜,貢獻者和依賴項的鏈條很長,很難保證安全性。因此,公司迫切需要了解和驗證這些依賴鏈的安全性。OpenSSF 將聯合各行業的領導者,致力於與上游及現有社區的協同合作,為開源軟體安全保駕護航。
Linux 基金會原先成立的核心基礎設施計劃以及 Github 創立的開源安全聯盟將與 OpenSSF 的工作進行整合,成為 OpenSFF 的一部分,為開源安全提供統一的社區。除此以外,OpenSFF 匯集了業界支持這些計劃的個體和公司,包括董事會創始成員 GitHub、谷歌(Google)、IBM、JP 摩根公司(JPMorgan Chase)、微軟(Microsoft)、NCC 集團、OWASP 基金會和紅帽(Red Hat)等。
其他創始成員還有 ElevenPaths、GitLab、HackerOne、英特爾(Intel)、Okta、Purdue、SAFECode、StackHawk、Trail of Bits、優步(Uber)和 VMware。
尤其值得關注的是,新的基金會在治理、技術社區及決策方面將是透明的,其治理結構包括理事會技術諮詢委員會以及對各個工作組和項目的單獨監督,開發的任何項目將與供應商無關。接下來,OpenSSF 將核心圍繞漏洞披露、安全工具、識別開源項目的安全威脅、安全最佳實踐、開發者身份驗證等展開工作。
Linux 基金會執行董事 Jim Zemlin 這樣說道:「我們認為開源是一種公共物品,每個行業中都有責任共同努力,以改善和支持我們所依賴的開源軟體的安全性。」 他表示,「確保開源安全是我們能做的最重要的事情之一,它需要世界各地的所有人共同努力。OpenSSF 將為達成此目標推動跨行業的合作。」
同時,Microsoft Azure 首席技術官 Mark Russinovich 還表示:「由於開源現在已成為幾乎每個公司的技術戰略的核心,因此,保護開源軟體是確保每個公司(包括我們自己的公司)供應鏈安全的重要組成部分。與所有開源軟體一樣,建立更好的安全性是社區驅動的過程。微軟公司的所有人都為成為開源安全基金會的創始成員而感到興奮,我們期待與社區合作,以創建對我們所有人都有幫助的新安全解決方案。」
相關資料:
-
Technology and Enterprise Leaders Combine Efforts to Improve Open Source Security
-
GitHub joins the Open Source Security Foundation
-
The State of Open Source Security