確保開(kāi)源軟件供應(yīng)鏈的安全是一件大事。去年，拜登政府發(fā)布了一項(xiàng)行政命令，以提高軟件供應(yīng)鏈的安全性。這是在Colonial Pipeline勒索軟件攻擊關(guān)閉了整個(gè)東南部的天然氣和石油運(yùn)輸以及SolarWinds軟件供應(yīng)鏈攻擊之后發(fā)生的。確保軟件安全成為重中之重。

作為回應(yīng)，開(kāi)源安全基金會(huì)（OpenSSF）和Linux基金會(huì)起來(lái)迎接這一安全挑戰(zhàn)?，F(xiàn)在，他們呼吁在兩年內(nèi)提供1.5億美元的資金，以修復(fù)十個(gè)主要的開(kāi)源安全問(wèn)題。

美國(guó)政府將不會(huì)為這些變化支付費(fèi)用。亞馬遜、愛(ài)立信、Google、英特爾、微軟和VMWare已經(jīng)認(rèn)捐了3000萬(wàn)美元。更多的廠商已經(jīng)開(kāi)始行動(dòng)，例如亞馬遜網(wǎng)絡(luò)服務(wù)（AWS）已經(jīng)認(rèn)捐了額外的1000萬(wàn)美元。

以下是開(kāi)源產(chǎn)業(yè)致力于實(shí)現(xiàn)的十個(gè)目標(biāo)：

安全教育：向所有人提供基線安全軟件開(kāi)發(fā)教育和認(rèn)證。

風(fēng)險(xiǎn)評(píng)估：為前10000個(gè)（或更多）開(kāi)放源碼軟件組件建立一個(gè)公共的、供應(yīng)商中立的、基于客觀計(jì)量的風(fēng)險(xiǎn)評(píng)估儀表板。

數(shù)字簽名：加快軟件發(fā)布中數(shù)字簽名的采用。

內(nèi)存安全：通過(guò)替換非內(nèi)存安全的語(yǔ)言，消除許多漏洞的根源。

事故響應(yīng)：建立OpenSSF開(kāi)源安全事件響應(yīng)小組，安全專(zhuān)家可以在應(yīng)對(duì)漏洞的關(guān)鍵時(shí)刻介入，協(xié)助開(kāi)源項(xiàng)目。

掃描技術(shù)：通過(guò)先進(jìn)的安全工具和專(zhuān)家指導(dǎo)，加速維護(hù)者和專(zhuān)家對(duì)新漏洞的發(fā)現(xiàn)。

代碼審計(jì)：每年一次對(duì)多達(dá)200個(gè)最關(guān)鍵的開(kāi)放源碼軟件組件進(jìn)行第三方代碼審查（以及任何必要的修復(fù)工作）。

數(shù)據(jù)共享：協(xié)調(diào)全行業(yè)的數(shù)據(jù)共享，以改善有助于確定最關(guān)鍵的開(kāi)放源碼軟件組件的研究。

軟件材料清單（SBOMs）：推動(dòng)改進(jìn)SBOM工具和培訓(xùn)的采用。

改進(jìn)供應(yīng)鏈：通過(guò)更好的供應(yīng)鏈安全工具和最佳實(shí)踐，加強(qiáng)10個(gè)最關(guān)鍵的開(kāi)源軟件構(gòu)建系統(tǒng)、軟件包管理器和分銷(xiāo)系統(tǒng)。

了解更多：

https://8112310.fs1.hubspotusercontent-na1.net/hubfs/8112310/OpenSSF/White%20House%20OSS%20Mobilization%20Plan.pdf?hsCtaTracking=3b79d59d-e8d3-4c69-a67b-6b87b325313c%7C7a1a8b01-65ae-4bac-b97c-071dac09a2d8

（舉報(bào)）