开源软件的Bolster安全性的新基础
已经形成了一个基础,以改善开源软件的安全性,汇集了行业的开源安全计划和支持它们的公司。
该基础是Linux基金会支持的源基金会支持的开放源安全基金会(OpenSSF),并将Github的开源安全联盟和其他开源安全工作从管理委员会成员(包括Google),IBM在内的管理委员会成员(Cii)基础(Cii)支持。 ,jpmorgan追逐,微软和红帽等。
由2014年令人毛骨悚然的虫子之后的Linux基金会形成的CII将于长期解散,其工作来自openssf的主持。
Linux基金会表示,openssf的治理,技术界和决策将是透明的,任何规范和项目都将成为供应商 - 不可否认的,并补充说它致力于与现有社区合作,以改善所有人的开放源安全性。
开源软件已成为数据中心,消费者设备和服务的普遍存在。由于其开发过程,开源软件涉及用户的贡献者和依赖性。
在此背景下,Linux基金会表示,重要的是,负责用户和组织的安全性的人可以理解和验证该依赖链的安全性。
“我们认为开源是公众的好处,我们拥有一个有责任行业的行业来实现我们所有人都依赖的开源软件的安全性,”Linux基金会执行董事Jim Zemlin说。
“确保开放源安全是我们能做的最重要的事情之一,它要求我们各地的所有人都能协助努力。Theopenssfilill提供了一个真正的协作,跨行业的论坛。“
随着基金会的形式化,已经建立了一个公开治理结构,包括理事会(GB)和技术咨询委员会(TAC),两者都不会直接管理工作组和项目。
相反,项目维护者将管理项目,这包括定义治理过程。GB负责预算,TAC处理整体技术战略。
openssf计划举办各种开放的源技术举措,以支持世界上最关键的开源软件的安全性,所有这些措施都将在GitHub上的开放中完成。其中包括哈佛大学实验室为创新科学识别的最关键词的软件。
克里斯托弗·弗里斯,IBM研究员和首席技术官(CTO)为开放技术表示,随着开源在企业主流,开源供应链的安全性至关重要。
“openssf的推出标志着提供开放源社区的重要一步,他们需要改进其安全的工程实践所需的信息和工具,以及信息开发人员需要明智地选择他们的开放来源,”他说。
MyRepublic的前任首席执行官eugene yeo是一台使用开源软件的亚太地区电信,告诉计算机每周,openssf是解决今天的安全挑战的正确方法,开源项目。
“它汇集了社区,帮助重点关注更好的编码实践和更快的漏洞发现和修补。只要开源社区的支持和采用openssf所阐述的框架,就会有很大的机会成功解决开源面孔的安全挑战。“
根据开源安全状态的SNYK报告,与上一年相比,开源包装中的新漏洞的新漏洞率下降了约20%。
开源安全公司在博客文章中指出,下降可能是由于开发人员更好的意识,改善了开发管道中的组织实践和高级开源安全工具。