在近日舉辦的美國白宮開源軟件安全峰會(huì)上，Linux 基金會(huì)和開源軟件安全基金會(huì) (OpenSSF) 與來自 37 家公司的 90 多名高管、以及美國政府相關(guān)領(lǐng)導(dǎo)人共同討論了開源安全舉措。此次會(huì)議距離拜登政府發(fā)布改善軟件供應(yīng)鏈安全的行政命令剛好一周年的時(shí)間。

Linux 基金會(huì)和 OpenSSF 在會(huì)議上呼吁，在兩年內(nèi)提供 1.5 億美元的資金來解決十個(gè)主要的開源安全問題。包括：

安全教育：向所有人提供基線安全軟件開發(fā)教育和認(rèn)證。

風(fēng)險(xiǎn)評(píng)估：為前 10,000 個(gè)(或更多)OSS 組件建立一個(gè)公開的、供應(yīng)商中立的、基于客觀指標(biāo)的風(fēng)險(xiǎn)評(píng)估儀表板。

數(shù)字簽名：加速在軟件版本中采用數(shù)字簽名。

內(nèi)存安全：通過替換非內(nèi)存安全語言來消除許多漏洞的根本原因。

事件響應(yīng)：建立 OpenSSF 開源安全事件響應(yīng)團(tuán)隊(duì)，安全專家可以在響應(yīng)漏洞的關(guān)鍵時(shí)刻介入?yún)f(xié)助開源項(xiàng)目。

更好的掃描：通過高級(jí)安全工具和專家指導(dǎo)，加速維護(hù)人員和專家對(duì)新漏洞的發(fā)現(xiàn)。

代碼審計(jì)：每年對(duì)多達(dá) 200 個(gè)最關(guān)鍵的 OSS 組件進(jìn)行一次第三方代碼審查(以及任何必要的修復(fù)工作)。

數(shù)據(jù)共享：協(xié)調(diào)全行業(yè)的數(shù)據(jù)共享，以改進(jìn)有助于確定最關(guān)鍵 OSS 組件的研究。

軟件物料清單 (SBOM) 無處不在：改進(jìn) SBOM 工具和培訓(xùn)以推動(dòng)采用。

改進(jìn)的供應(yīng)鏈：使用更好的供應(yīng)鏈安全工具和最佳實(shí)踐來增強(qiáng) 10 個(gè)最關(guān)鍵的開源軟件構(gòu)建系統(tǒng)、包管理器和分銷系統(tǒng)。

不過，美國政府并不會(huì)為此提供一分費(fèi)用。OpenSSF 總經(jīng)理 Brian Behlendorf 在白宮新聞會(huì)上表示："我想說清楚：我們?cè)谶@里不是為了向政府籌款。我們沒有預(yù)料到需要直接去找政府來獲得資金，任何人都可以成功"。

據(jù)悉，亞馬遜、愛立信、谷歌、英特爾、微軟和 VMWare 已經(jīng)承諾提供 3000 萬美元;Amazon Web Services (AWS) 也宣布增加對(duì) OpenSSF 的投資，承諾在未來三年內(nèi)追加 1000 萬美元。

另一方面，谷歌在此次會(huì)議上宣布成立 “Open Source Maintenance Crew(開源維護(hù)小組)”。 這是一個(gè)由開發(fā)人員組成的團(tuán)隊(duì)，他們將致力于確保上游開源項(xiàng)目的安全，從收緊配置到部署更新。

更多詳情可查看??計(jì)劃文檔??。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：白宮與 OpenSSF 和 Linux 基金會(huì)一起保護(hù)開源軟件

本文地址：https://www.oschina.net/news/195832/white-house-openssf-linux-foundation-oss