在近日舉辦的美國白宮開源軟件安全峰會上，Linux 基金會和開源軟件安全基金會 (OpenSSF) 與來自 37 家公司的 90 多名高管、以及美國政府相關(guān)領(lǐng)導(dǎo)人共同討論了開源安全舉措。此次會議距離拜登政府發(fā)布改善軟件供應(yīng)鏈安全的行政命令剛好一周年的時間。

Linux 基金會和 OpenSSF 在會議上呼吁，在兩年內(nèi)提供 1.5 億美元的資金來解決十個主要的開源安全問題。包括：

安全教育：向所有人提供基線安全軟件開發(fā)教育和認證。

風(fēng)險評估：為前 10,000 個(或更多)OSS 組件建立一個公開的、供應(yīng)商中立的、基于客觀指標的風(fēng)險評估儀表板。

數(shù)字簽名：加速在軟件版本中采用數(shù)字簽名。

內(nèi)存安全：通過替換非內(nèi)存安全語言來消除許多漏洞的根本原因。

事件響應(yīng)：建立 OpenSSF 開源安全事件響應(yīng)團隊，安全專家可以在響應(yīng)漏洞的關(guān)鍵時刻介入?yún)f(xié)助開源項目。

更好的掃描：通過高級安全工具和專家指導(dǎo)，加速維護人員和專家對新漏洞的發(fā)現(xiàn)。

代碼審計：每年對多達 200 個最關(guān)鍵的 OSS 組件進行一次第三方代碼審查(以及任何必要的修復(fù)工作)。

數(shù)據(jù)共享：協(xié)調(diào)全行業(yè)的數(shù)據(jù)共享，以改進有助于確定最關(guān)鍵 OSS 組件的研究。

軟件物料清單 (SBOM) 無處不在：改進 SBOM 工具和培訓(xùn)以推動采用。

改進的供應(yīng)鏈：使用更好的供應(yīng)鏈安全工具和最佳實踐來增強 10 個最關(guān)鍵的開源軟件構(gòu)建系統(tǒng)、包管理器和分銷系統(tǒng)。

不過，美國政府并不會為此提供一分費用。OpenSSF 總經(jīng)理 Brian Behlendorf 在白宮新聞會上表示："我想說清楚：我們在這里不是為了向政府籌款。我們沒有預(yù)料到需要直接去找政府來獲得資金，任何人都可以成功"。

據(jù)悉，亞馬遜、愛立信、谷歌、英特爾、微軟和 VMWare 已經(jīng)承諾提供 3000 萬美元;Amazon Web Services (AWS) 也宣布增加對 OpenSSF 的投資，承諾在未來三年內(nèi)追加 1000 萬美元。

另一方面，谷歌在此次會議上宣布成立 “Open Source Maintenance Crew(開源維護小組)”。 這是一個由開發(fā)人員組成的團隊，他們將致力于確保上游開源項目的安全，從收緊配置到部署更新。

更多詳情可查看??計劃文檔??。

本文轉(zhuǎn)自O(shè)SCHINA

本文標題：白宮與 OpenSSF 和 Linux 基金會一起保護開源軟件

本文地址：https://www.oschina.net/news/195832/white-house-openssf-linux-foundation-oss