在近日举办的美国白宫开源软件安全峰会上,Linux 基金会和开源软件安全基金会 (OpenSSF) 与来自 37 家公司的 90 多名高管、以及美国政府相关领导人共同讨论了开源安全举措。此次会议距离拜登政府发布改善软件供应链安全的行政命令刚好一周年的时间。
Linux 基金会和 OpenSSF 在会议上呼吁,在两年内提供 1.5 亿美元的资金来解决十个主要的开源安全问题。包括:
- 安全教育:向所有人提供基线安全软件开发教育和认证。
- 风险评估:为前 10,000 个(或更多)OSS 组件建立一个公开的、供应商中立的、基于客观指标的风险评估仪表板。
- 数字签名:加速在软件版本中采用数字签名。
- 内存安全:通过替换非内存安全语言来消除许多漏洞的根本原因。
- 事件响应:建立 OpenSSF 开源安全事件响应团队,安全专家可以在响应漏洞的关键时刻介入协助开源项目。
- 更好的扫描:通过高级安全工具和专家指导,加速维护人员和专家对新漏洞的发现。
- 代码审计:每年对多达 200 个最关键的 OSS 组件进行一次第三方代码审查(以及任何必要的修复工作)。
- 数据共享:协调全行业的数据共享,以改进有助于确定最关键 OSS 组件的研究。
- 软件物料清单 (SBOM) 无处不在:改进 SBOM 工具和培训以推动采用。
- 改进的供应链:使用更好的供应链安全工具和最佳实践来增强 10 个最关键的开源软件构建系统、包管理器和分销系统。
不过,美国政府并不会为此提供一分费用。OpenSSF 总经理 Brian Behlendorf 在白宫新闻会上表示:"我想说清楚:我们在这里不是为了向政府筹款。我们没有预料到需要直接去找政府来获得资金,任何人都可以成功"。
据悉,亚马逊、爱立信、谷歌、英特尔、微软和 VMWare 已经承诺提供 3000 万美元;Amazon Web Services (AWS) 也宣布增加对 OpenSSF 的投资,承诺在未来三年内追加 1000 万美元。
另一方面,谷歌在此次会议上宣布成立“Open Source Maintenance Crew(开源维护小组)”。 这是一个由开发人员组成的团队,他们将致力于确保上游开源项目的安全,从收紧配置到部署更新。
更多详情可查看计划文档。