跳到主要内容

OpenSSF是一个跨行业的组织,汇集了业界最重要的开源安全计划以及支持这些计划的个人和公司。OpenSSF致力于合作,并与上游和现有社区合作,为所有人推进开源安全。 

OpenSSF技术愿景

我们设想的未来是,开源生态系统的参与者使用和分享高质量的软件,并主动地、默认地、理所当然地处理安全问题。

  • 开发人员可以很容易地学习安全开发实践,并由他们的工具主动指导应用这些实践,并在需要采取行动防止、补救或缓解安全问题时自动通知。
  • 开发人员、审计人员和监管人员可以创建并轻松分发通过工具化和自动化执行的安全策略,为结果提供持续保证。
  • 开发人员和研究人员可以识别安全问题(包括无意的漏洞和恶意软件),并让这些信息通过供应链迅速向后流动,交给能够迅速解决该问题的人。
  • 社区成员可以提供有关产品缺陷、缓解措施、质量和可支持性的信息和通知,并让这些信息在整个生态系统中迅速流向所有用户,而用户可以迅速更新他们的软件或适当地实施缓解措施。

开源安全基金会(OpenSSF)提供工具、服务、培训、基础设施和资源来实现这一愿景。

开放社会基金的价值

公共利益

我们相信,开源的安全是一种公共利益,作为一个行业,我们有义务为社区的共同利益解决这个问题。

公开性和透明度

我们承诺鼓励所有感兴趣的利益相关者参与基金会及其工作小组的工作。基金会的工作将被公开。

维护者优先

我们怀着对开源软件维护者和开发者的强烈敬意,为提高开源软件的安全性做出了贡献,目的是为了创造资源和工具,帮助扩大安全改进,使整个开源生态系统受益。

多样性、包容性和代表性

我们努力积极邀请和接纳来自不同背景、地点、身份和观点的人,并促进相互尊重和包容的文化,作为参与的要求。

敏捷性和交付

我们致力于提供具体和有用的产出和工具,以帮助使开源更加安全。我们这样做的方式,使我们能够从经验和实验中学习,并相应地改进我们的产出。

应受赞誉的地方

我们承诺建立一种文化,使人们的贡献得到公平的承认和认可。

中立性

我们不偏向任何生态系统、供应商或平台。

同理心

我们承认并理解对方的挑战、观点和情况。我们承诺建立一种倾听和关心多种意见的文化。

常见问题

OpenSSF的范围是什么?

OpenSSF专注于通过有针对性的倡议和最佳实践建立一个更广泛的社区来提高开源软件(OSS)的安全性。它专注于关键任务软件、衡量标准、工具、最佳实践、开发者身份验证、漏洞披露最佳实践等方面。 

OpenSSF成立的前提是,安全研究人员需要一个机制,使他们能够合作解决确保开源安全供应链的方法。它认识到全球各组织内的安全研究人员有着共同的利益和关注。OpenSSF促进了私人实体、基金会和学术界之间的持续对话和项目工作。

为什么业界现在需要OpenSSF?

随着开放源码变得越来越普遍,其安全性已成为建设和维护支持整个社会关键任务系统的关键基础设施的一个关键考虑因素。现在比以往任何时候都更重要的是,我们要把整个行业聚集在一起,通过合作和集中的努力来推进开源安全的状况。世界的技术基础设施取决于它。

谁是OpenSSF最初和目前的成员?

查看目前的全部名单 开放的SSF成员.创始成员包括GitHub、谷歌、IBM、摩根大通、微软、NCC集团、OWASP基金会和红帽等。 

我必须是会员才能参加工作组或项目吗?

不,与Linux基金会的任何工作一样,任何技术工作都是向所有人开放的,不需要资金来参与(就像其他的开源项目一样)。

GB或TAC是否直接控制WG或项目?

理事会(GB)和技术咨询委员会(TAC)都不负责直接管理基金会主持的工作组(WG)和项目。相反,这些项目的维护者负责管理这些项目;这包括定义治理过程。理事会负责预算,技术咨询委员会负责总体技术战略。

会员资格或赞助级别是否曾经影响过与项目有关的决策?

不,所有与项目有关的决定都是由项目维护者做出的。维护者资格和治理过程由项目决定,不考虑OpenSSF成员资格。

我在哪里可以看到工作项目的当前状态和项目?

所有的工作都是公开进行的,OpenSSF TAC列出了所有的 技术倡议.

OpenSSF是如何确保开源社区的包容性代表的?

多样性、包容性和代表性是我们的核心价值之一。我们的目标是创造一个包容性的文化,确保每个人都得到尊重和重视。 

我如何加入和参与?

任何人都可以为OpenSSF作出贡献。了解你如何能够 参与进来.

我的组织如何加入成为会员?

想了解更多关于如何与你的业界同行一起支持OpenSSF的信息。 提交会员查询 并且OpenSSF代表将很快与您联系.