確保開源軟件供應(yīng)鏈的安全是一件大事。去年，拜登政府發(fā)布了一項(xiàng)行政命令，以提高軟件供應(yīng)鏈的安全性。這是在Colonial Pipeline勒索軟件攻擊關(guān)閉了整個東南部的天然氣和石油運(yùn)輸以及SolarWinds軟件供應(yīng)鏈攻擊之后發(fā)生的。確保軟件安全成為重中之重。

作為回應(yīng)，開源安全基金會（OpenSSF）和Linux基金會起來迎接這一安全挑戰(zhàn)。現(xiàn)在，他們呼吁在兩年內(nèi)提供1.5億美元的資金，以修復(fù)十個主要的開源安全問題。

美國政府將不會為這些變化支付費(fèi)用。亞馬遜、愛立信、Google、英特爾、微軟和VMWare已經(jīng)認(rèn)捐了3000萬美元。更多的廠商已經(jīng)開始行動，例如亞馬遜網(wǎng)絡(luò)服務(wù)（AWS）已經(jīng)認(rèn)捐了額外的1000萬美元。

以下是開源產(chǎn)業(yè)致力于實(shí)現(xiàn)的十個目標(biāo)：

安全教育：向所有人提供基線安全軟件開發(fā)教育和認(rèn)證。

風(fēng)險評估：為前10000個（或更多）開放源碼軟件組件建立一個公共的、供應(yīng)商中立的、基于客觀計(jì)量的風(fēng)險評估儀表板。

數(shù)字簽名：加快軟件發(fā)布中數(shù)字簽名的采用。

內(nèi)存安全：通過替換非內(nèi)存安全的語言，消除許多漏洞的根源。

事故響應(yīng)：建立OpenSSF開源安全事件響應(yīng)小組，安全專家可以在應(yīng)對漏洞的關(guān)鍵時刻介入，協(xié)助開源項(xiàng)目。

掃描技術(shù)：通過先進(jìn)的安全工具和專家指導(dǎo)，加速維護(hù)者和專家對新漏洞的發(fā)現(xiàn)。

代碼審計(jì)：每年一次對多達(dá)200個最關(guān)鍵的開放源碼軟件組件進(jìn)行第三方代碼審查（以及任何必要的修復(fù)工作）。

數(shù)據(jù)共享：協(xié)調(diào)全行業(yè)的數(shù)據(jù)共享，以改善有助于確定最關(guān)鍵的開放源碼軟件組件的研究。

軟件材料清單（SBOMs）：推動改進(jìn)SBOM工具和培訓(xùn)的采用。

改進(jìn)供應(yīng)鏈：通過更好的供應(yīng)鏈安全工具和最佳實(shí)踐，加強(qiáng)10個最關(guān)鍵的開源軟件構(gòu)建系統(tǒng)、軟件包管理器和分銷系統(tǒng)。

了解更多：

https://8112310.fs1.hubspotusercontent-na1.net/hubfs/8112310/OpenSSF/White%20House%20OSS%20Mobilization%20Plan.pdf?hsCtaTracking=3b79d59d-e8d3-4c69-a67b-6b87b325313c%7C7a1a8b01-65ae-4bac-b97c-071dac09a2d8

（舉報）