跳到主要内容

什么是OpenSSF

OpenSSF是一个跨行业的合作组织,通过建立一个更广泛的社区、有针对性的倡议和最佳实践,将领导者聚集在一起,提高开源软件(OSS)的安全性。

OpenSSF将开源安全倡议集中在一个基金会下,通过跨行业支持加速工作。这从核心基础设施倡议和开源安全联盟开始,并将包括处理漏洞披露、安全工具等的新工作组。

OpenSSF将确定和建立新的开源安全标准和技术,还是只是维护和维持现有的标准和技术?

可能两者都有,但首先我们需要就我们共同解决的问题达成一致,然后将决定如何最好地作为一个基础来合作解决这些问题。

OpenSSF与CII有什么不同?CII的情况如何?

ǞǞǞ CII OpenSSF的资金主要来自于拨款,而OpenSSF将由Linux基金会的会员费来支持,并有针对性的组织捐款来支持各项活动。CII正在进行的工作正在向OpenSSF过渡,我们预计CII最终将被OpenSSF所取代而解散。

开源安全联盟(OSSC)会发生什么?

所有OSSC成员和他们的项目现在都将成为OpenSSF的一部分。

OpenSSF的范围是什么?

OpenSSF专注于通过有针对性的倡议和最佳实践建立一个更广泛的社区来提高开源软件(OSS)的安全性。它将首先关注度量、工具、最佳实践、开发者身份验证和漏洞披露的最佳实践。在未来,有计划将资源集中在最关键的任务软件上 由哈佛大学创新科学实验室确定的.

OpenSSF成立的前提是,安全研究人员需要一个机制,使他们能够合作解决确保开源安全供应链的方法。它认识到全球各组织内的安全研究人员有着共同的利益和关注。OpenSSF促进了私人实体、基金会和学术界之间的持续对话和项目工作。

为什么是现在?为什么行业现在需要OpenSSF?为什么我们需要OpenSSF?它能做什么,而今天还没有做?

随着开放源码变得越来越普遍,其安全性已成为建设和维护支持整个社会关键任务系统的关键基础设施的一个关键考虑因素。现在比以往任何时候都更重要的是,我们要把整个行业聚集在一起,通过合作和集中的努力来推进开源安全的状况。世界的技术基础设施取决于它。

什么是OpenSSF的价值观?

  • 公共利益. 我们相信,开源的安全是一种公共利益,作为一个行业,我们有义务为社区的共同利益解决这个问题。
  • 公开性和透明度:我们承诺鼓励所有感兴趣的利益相关者参与基金会及其工作小组的工作。基金会的工作将被公开。
  • 维护者优先:我们怀着对开源软件维护者和开发者的强烈敬意,为提高开源软件的安全性做出贡献,旨在创建资源和工具,帮助扩大安全改进,使整个开源生态系统受益。
  • 多样性、包容性和代表性:我们努力积极邀请和接纳来自不同背景、地点、身份和观点的人,并促进相互尊重和包容的文化,作为参与的要求。
  • 敏捷性和交付:我们致力于提供具体和有用的产出和工具,以帮助使开源更安全。我们这样做的方式,使我们能够从经验和实验中学习,并相应地改进我们的产出。
  • 功劳归功于人:我们承诺建立一种文化,使人们的贡献得到公平的承认和认可。
  • 中立性:我们不偏向任何生态系统、供应商或平台。
  • 同理心:我们承认并理解对方的挑战、观点和情况。我们承诺建立一种倾听和关心多种意见的文化。

谁是OpenSSF的初始成员?

创始成员包括GitHub、谷歌、IBM、摩根大通、微软、NCC集团、OWASP基金会和红帽等。

哪些最初的工作组会在那里?

  • 漏洞披露。 我们的愿景是建立一个开源软件生态系统,在这个系统中,修复一个漏洞并在整个生态系统中部署该漏洞的时间是以分钟计算的,而不是以月计算的。为漏洞报告/协调披露创建一个统一的格式和API,并推动广泛采用
  • 安全工具。 我们的使命是为开源开发者提供最好的安全工具,并使其普遍适用。我们希望创造一个空间,让成员可以一起合作,改进现有的安全工具,并开发新的工具,以适应更广泛的开源社区的需求。
  • 识别开源项目的安全威胁。 我们的目标是使利益相关者对开源项目的安全性有充分的信心。我们将确定一套关键指标,并建立工具(API、Web UI)来向利益相关者传达这些指标,使这些利益相关者能够更好地了解各个开源组件的安全状况。
  • 安全最佳实践。 其目的是为开源开发者提供最佳实践建议。
  • 确保关键项目的安全。 目标是进行审计、保证、响应团队、改进和实际的战术工作。

OpenSSF将如何进行管理?

每个工作组都将有一个相关的技术指导委员会(TSC),并将以各自的技术章程进行自我管理,这是Linux基金会内部的一种典型做法,将业务(资金)管理与技术管理分开。

我必须是会员才能参加工作组或项目吗?

不,与Linux基金会的任何工作一样,任何技术工作都是向所有人开放的,不需要资金来参与(就像其他的开源项目一样)。

GB或TAC是否直接控制WG或项目?

理事会(GB)和技术咨询委员会(TAC)都不负责直接管理基金会主办的工作组和项目。相反,这些项目的维护者对其进行管理;这包括定义治理过程。理事会负责预算,技术咨询委员会负责总体技术战略。

会员资格或赞助级别是否曾经影响过与项目有关的决策?

不,所有与项目有关的决定都是由项目维护者做出的。维护者资格和治理过程由项目决定,不考虑OpenSSF成员资格。

我在哪里可以看到工作项目的当前状态和项目?

所有的工作都是公开进行的,OpenSSF TAC列出了所有的 技术倡议.

OpenSSF是如何确保开源社区的包容性代表的?

多样性、包容性和代表性是我们的核心价值之一。我们将创造一个包容性的文化,确保每个人都得到尊重和重视。我们将探索在社区内以及与Linux基金会合作开展相关工作的机会。

我如何加入和参与?

任何人都可以为开源安全基金会作出贡献。通过访问参与其中。 https://openssf.org/getinvolved/ 和 https://github.com/ossf