跳到主要内容
所有帖子 作者

吕明

支持开源安全的全行业倡议获得新承诺

通过 新闻发布

开源安全基金会增加新成员,花旗银行。 Comcast、DevSamurai、HPE、Mirantis和Snyk。

加利福尼亚州旧金山,2021年3月9日 - 开放的SSF今天宣布了新的成员承诺,以推进开源安全教育和最佳实践。新成员包括花旗银行。 Comcast, DevSamurai, Hewlett Packard Enterprise (HPE), Mirantis, and Snyk.

开源软件(OSS)已经在数据中心、消费者设备和服务中普遍存在,代表了它在技术专家和企业中的价值。由于其开发过程,开源软件在最终到达其最终用户之前有一连串的贡献者和依赖性。重要的是,那些负责其用户或组织安全的人能够理解并验证这个依赖性供应链的安全性。

"OpenSSF理事会主席Kay Williams说:"开源软件嵌入了世界的技术基础设施,值得我们致力于确保其安全性。 微软首席技术官Azure办公室供应链安全负责人."我们欢迎最新的OpenSSF新成员,并对他们致力于推进开源软件及其技术和商业生态系统的供应链安全表示赞赏。"

OpenSSF是一个跨行业的合作,它将技术领导者聚集在一起,以提高开放源码软件的安全性。它的愿景是创建一个 未来,开源生态系统的参与者将使用和分享高质量的软件,并主动地、默认地、理所当然地处理安全问题。工作小组 包括保障关键项目、安全工具、识别安全威胁、漏洞披露、数字身份认证和最佳实践。  

OpenSSF有超过35个成员和准成员,为工作组、技术倡议和管理委员会作出贡献,并帮助推进开源安全的最佳实践。欲了解更多关于创始成员和新成员的信息,请访问。 https://openssf.org/about/members/

参加OpenSSF不需要会员资格。欲了解更多信息和了解如何参与,包括参与工作组和咨询论坛的信息,请访问 https://openssf.org/getinvolved

新会员评论

花旗银行
花旗集团云安全工程董事总经理Jonathan Meadows说:"与开源社区合作是我们安全战略的一个重要组成部分,我们期待着支持OpenSSF的合作承诺"。

康卡斯特
"在我们为客户创造和不断发展伟大的产品和体验的持续工作中,开源软件是一种宝贵的资源,我们知道在开发的每个阶段建立安全是多么重要。我们很荣幸能成为这项工作的一部分,并期待着合作,"康卡斯特开源项目办公室负责人Nithya Ruff说。 

梦之城_梦之城娱乐_梦之城国际娱乐_梦之城国际娱乐平台
"我们生活在一个有趣的时代,新的IT技术每天都在改变我们生活的各个方面。利益伴随着风险,这对开源软件来说是再真实不过了。作为OpenSSF的一部分,我们期望向社区学习并做出贡献,我们一起加强安全并消除整个软件供应链的风险,"DevSamurai的DevSecOps主管Tam Nguyen说。

惠普企业
"惠普企业高级总监Sunil James说:"开源软件(OSS)已经越来越受欢迎,将为现代企业基础设施提供动力。"它的模块化性质使得客户很难在不同的软件和硬件组件之间轻松地拼凑出信任。加强行业合作对于提高开放源码软件的安全性至关重要。加入OpenSSF使我们能够与其他公司在工具和最佳实践方面进行有意义的合作,使开放源码软件在默认情况下是安全和可信的。"

米兰提斯
"Mirantis首席产品安全架构师Chase Pettet说:"作为开源从业者,Mirantis从一开始就展示了其对开源社区透明度和协作价值的承诺。"作为OpenSSF的成员,我们认识到跨行业的安全利益相关者需要相互加强。我们的客户将继续依靠开源来保证他们的安全,我们将继续支持安全开放解决方案的发展"。

スニック
"Snyk全球联盟首席技术官Geva Solomonovich说:"Snyk重视安全和开源社区,多年来一直与Linux基金会紧密合作。"我们一直在通过为Node.js安全工作组和以前的核心基础设施倡议报告做出贡献,让开发者更容易获得安全。Snyk还帮助研究人员和开源维护者负责任地披露漏洞和分配CVE。Snyk很高兴成为OSSF的正式成员,我们期待着与其他同样致力于在整个软件开发生命周期推进开源安全的人合作。"

关于开放源代码安全基金会(OpenSSF)

由Linux基金会主办的OpenSSF (于2020年8月推出)是一个跨行业的组织,该组织 它汇集了业界最重要的开源安全倡议以及支持这些倡议的个人和公司。它结合了Linux基金会为应对2014年Heartbleed漏洞而成立的核心基础设施倡议(CII)和GitHub安全实验室成立的开源安全联盟,以建立一个社区来支持未来几十年的开源安全。OpenSSF致力于合作,并与上游和现有社区合作,为所有人推进开源安全。

关于Linux基金会

Linux基金会成立于2000年,由1000多个成员支持,是世界上领先的开源软件、开放标准、开放数据和开放硬件的合作之家。Linux基金会的项目对世界的基础设施至关重要,包括Linux、Kubernetes、Node.js等。 Linux基金会的方法专注于利用最佳实践,解决贡献者、用户和解决方案提供者的需求,以创造可持续的开放合作模式。欲了解更多信息,请访问我们的网站 linuxfoundation.org.

###

Linux基金会拥有注册商标和使用商标。关于Linux基金会的商标列表,请看我们的商标使用页面。  https://www.linuxfoundation.org/trademark-usage.Linux是Linus Torvalds的注册商标。

媒体联系
珍妮弗-克洛尔
为Linux基金会工作
503-867-2304
jennifer@storychangesculture.com

 

即将于2月22日举行的OpenSSF市政厅

通过 博客

自去年成立以来,OpenSSF社区一直在快速地工作,以提高开源生态系统的安全性。我们都知道这不是一个小任务,所以我们要花点时间来报告所有正在发生的工作,并邀请你参与。

我们希望在下一次OpenSSF市政厅会议上见到你,时间是2月22日星期一,东部时间1:00-2:00。会议对公众开放;请告诉其他人,以便他们能够加入我们的行列。 点击这里注册。

2021年1月更新:新的技术远景为工作组的进展提供参考 

通过 博客

自去年成立以来,OpenSSF社区一直在快速地工作,以提高开源生态系统的安全性。我们都知道这不是一个小任务,所以我们要花点时间来报告所有正在发生的工作,并邀请你参与。 我们也希望在2月22日(星期一)美东时间1:00-2:00的下一次市政厅会议上见到你。  点击这里注册。

技术展望 

也许最重要的是,我们已经跨公司和跨地域工作,以阐明我们对这项工作的技术愿景。我们的挑战是一个巨大的挑战,一个集体的、有意识的愿景使我们能够优先考虑紧迫的需求。 

我们设想的未来是,开源生态系统的参与者使用和分享高质量的软件,并主动地、默认地、理所当然地处理安全问题。

  • 开发人员可以很容易地学习安全开发实践,并由他们的工具主动指导应用这些实践,并在需要采取行动防止、补救或缓解安全问题时自动通知。
  • 开发人员、审计人员和监管人员可以创建并轻松分发通过工具化和自动化执行的安全策略,为结果提供持续保证。
  • 开发人员和研究人员可以识别安全问题(包括无意的漏洞和恶意软件),并让这些信息通过供应链迅速向后流动,交给能够迅速解决该问题的人。
  • 社区成员可以提供有关产品缺陷、缓解措施、质量和可支持性的信息和通知,并让这些信息在整个生态系统中迅速流向所有用户,而用户可以迅速更新他们的软件或适当地实施缓解措施。

工作小组的进展

我们的工作小组是完成工作的地方,来自整个行业的贡献者在最近几个月取得了重要进展。技术展望》将有助于指导这项工作。以下是最新的更新。 

确保关键项目的安全
这个工作组的工作重点是了解哪些开源软件项目是最关键的,以便对安全工作进行相应的优先排序。该小组正在研究一个 关键性得分 并促成了 关于2020年FOSS贡献者调查的报告 由哈佛大学和Linux基金会提供。

安全工具
该工作组的最新工具是 CVE基准 为工具和数据集。它使用一系列静态应用安全测试(SAST)工具,针对200多个历史上的JavaScript/TypeScript漏洞,分析真实世界的代码库。 

识别安全威胁
这个小组正在就一个 安全度量 为开源项目提供仪表板。安全指标仪表盘的早期版本已经向工作组展示。

漏洞披露
该小组正在开发用户角色,以关注当前实践中的差距,并评估目前社区内正在使用的脆弱性管理实践和标准。

最佳实践
该集团已经建立了 安全记分卡,其中 通过对开放源码软件项目的一系列检查,自动生成一个 "安全分数"。它简单易懂,完全自动化,使用客观标准,并有能力通过提高意识和激励项目改善其安全状况,对整个OSS生态系统产生巨大影响。 

该小组还在开发一个参考架构和关于工作组项目的核心组件和关系的教育性介绍;与OWASP安全知识框架(SKF)合作,提供关于最佳实践的信息和实验室,以便在各种编程语言中进行尝试,并改进CII最佳实践徽章的国际化,包括更多的中文翻译和斯瓦西里语的初步进展。 

OpenSSF管理委员会的安全代表 

我们还想与大家分享的是,Ian Coldwater已被选为OpenSSF管理委员会的安全代表。Ian是Twilio公司的软件工程--DevSecOps总监,擅长黑客攻击和加固Kubernetes、容器和云原生基础设施。他们也是Kubernetes SIG安全的联合主席。 

哦,如果你还没有读过,Linux基金会的开源供应链安全总监David A. Wheeler有一篇新文章,关于 如何防止像SolarWinds那样的供应链攻击 - 并提出具体建议。 

OpenSSF是一个跨行业的组织,该组织 它汇集了业界最重要的开源安全倡议以及支持这些倡议的个人和公司。它结合了Linux基金会为应对2014年Heartbleed漏洞而成立的核心基础设施倡议(CII),以及GitHub安全实验室成立的开源安全联盟,以建立一个社区来支持未来几十年的开源安全。 

欲了解更多信息并了解如何参与,包括参与工作组和咨询论坛的信息,请访问 https://openssf.org/getinvolved.

数字身份认证综述

通过 博客

作者。Kim Lewandowski, 代表数字身份认证工作组

我们在2020年8月启动了OpenSSF下的第一个数字身份证明工作组会议。该工作组的目标是使开源维护者、贡献者和最终用户能够了解他们所维护、生产和使用的代码的出处或来源,并作出决定。

我们在前几次会议上讨论了不同的威胁模式,因为它与参与软件供应链的人的数字身份有关,以及在供应链的每个环节中可能出现哪些类型的攻击。在这个练习之后,我们的会议充满了社区演讲,因为我们都试图了解这个领域的更多信息,并集思广益,寻找潜在的机会,共同减轻这些类型的攻击。 

以下是迄今为止的演讲摘要。

Linux内核

  • 演讲者。Konstantin Ryabitsev (Linux Foundation)
  • 摘要。 本演讲是对Linux内核如何处理开发者身份验证的概述。
  • 幻灯片
  • 淘宝网

In-Toto

  • 演讲者。Santiago Torres-Arias (普渡大学)
  • 摘要:本演讲介绍了in-toto作为一个框架,用于自动化软件供应链操作的合规性、组织内的新行为人(如开发人员)的入职,以及验证软件开发生命周期的最佳实践。使用in-toto,可以对这些过程进行加密检查,以确保每个行为者正确履行其职责,没有遗漏任何步骤,也没有篡改这些步骤的证据。
  • 幻灯片
  • 淘宝网

自主的身份

  • 演讲者。Arnaud Le Hors (IBM)
  • 摘要:对自我主权身份的简短介绍,这是一个新的身份管理系统,允许个人和组织对其数字身份进行控制。本演讲介绍了基于特定场景的整体架构,强调了关键原则,并指出了各种相关的倡议,重点是开发支持标准和软件。
  • 幻灯片
  • 淘宝网

Node.js的发布过程

  • 演讲者。Myles Borins (GitHub)
  • 摘要:Myles回顾了Node.js项目如何以安全可靠的方式管理发布。我们研究了我们用来帮助发布经理维护多条发布线的工具,我们的测试基础设施,以及我们为确保可靠的一致发布而制定的流程。
  • 淘宝网

用SSH进行Git签名

  • 演讲者。达米安-米勒(谷歌)
  • 摘要:讨论让git仓库中的每一行代码以加密方式归属于作者或导入者的目标。
    建议重构git的密码学支持,允许更多的签名方案,而不仅仅是目前的gnupg。建议增加对使用SSH密钥签名的支持,因为大多数git用户已经有一个SSH密钥,他们用它来认证版本库。 讨论在OpenSSH中已经取得的进展,以支持可以兼容的任意签名。
    希望使用SSH密钥的签名可以做到近乎无缝,提交和推送的签名可以成为大多数用户的默认签名。 讨论存储库-主机端反签名等问题,以便在重构/合并操作中保留出处。
  • 幻灯片
  • 淘宝网

PKI

  • 演讲者:Mike MaloneMike Malone (Smallstep)
  • 摘要:对公钥基础设施(PKI)标准和技术的介绍和概述。广义上讲,PKI涉及密钥的分配和管理(注册、更新、撤销、透明度等)。本讲座探讨了网络PKI(HTTPS)的标准和实践,以及如何应用它们来帮助保障软件供应链的安全。
  • 幻灯片
  • 淘宝网

杨森

  • 演讲者。 迈克-施瓦茨
  • 摘要:Janssen是一个开源的数字身份和访问管理平台。组织可以使用这个软件来自我托管一个身份提供者,或者将这种能力建立在一个产品中。该项目包括 "Janssen Auth Server",它是一个OAuth授权服务器和一个OpenID Connect提供商。Janssen Auth Server是Gluu Server 4.2.2的核心组件的分叉,该组件已在OpenID基金会得到认证。 杨森项目的其他组件包括一个W3C WebAuthn服务器(FIDO 2)的实现,它使人们能够注册、验证和管理这些新的证书。 除了源代码之外,杨森项目还发布了云端原生资产和一个可以安装在虚拟机或裸机上的发行版。  
  • 淘宝网
  • 项目主页。 https://jans.io

下一步是什么?

我们一直在寻找新的演讲者,讨论这个领域的主题。如果你对演讲感兴趣,或者想参与到工作组中来,请查看 GitHub repo 以了解会议和其他沟通渠道的详情。

在未来,该工作组希望围绕整个软件供应链的签名透明度进行探索。

感谢所有演讲者抽出时间进行演讲,并感谢他们帮助编撰这篇回顾文章!

介绍OpenSSF CVE基准测试

通过 博客

作者。 Bas van Schaik

今天,在 欧洲黑帽组织,在 开放源代码安全基金会 (OpenSSF)公布了其最新举措:OpenSSF CVE基准。该基准由200多个历史上的JavaScript/TypeScript漏洞的脆弱代码和元数据组成(CVEs).它包括使用一系列不同的静态应用安全测试(SAST)工具来分析受到这些漏洞影响的真实世界代码库的工具。自动生成的报告将帮助安全团队评估市场上的不同安全工具。

工程和安全团队在考虑安全工具时通常有一个主要要求:有效地检测漏洞(即产生很少的假阴性),同时保持低的假阳性率。这正是OpenSSF CVE基准所衡量的。

OpenSSF CVE基准测试 工具和数据都是开源的,可以在GitHub上找到。

制定基准的新方法

该基准解决了安全团队今天在评估安全工具时面临的两个问题。首先,OpenSSF CVE基准不是使用合成的测试代码,而是使用真实的历史数据。 CVEs.使用这种方法,安全工具是在 真正的 的代码库,其中包含 真正的 漏洞。第二,通过分析每个代码库的补丁版本,可以更准确地确定这些工具的假阳性率。

对于数据集中的200多个CVE中的每一个,CVE基准都要确定。 

  1. 一个工具是否能够检测到漏洞,或者是否产生假阴性?
  2. 它能识别补丁吗?还是对打过补丁的代码产生假阳性?

目前,评估安全工具功效的最常见方法之一是在包含合成漏洞的代码库上运行它。对于每一种流行的编程语言,都有多个这样的代码库,它们被不同程度地维护。大多数这样的 "基准代码库 "或 "测试套件 "是由志愿者完成的,而其他的则由大型组织发布(如NIST的SAMATE计划,它维护着Juliet测试套件)。

创建具有合成漏洞的代码库是一种挑战。在许多情况下,测试套件并不像真实的代码库:每一个看起来很奇怪的代码片段几乎都能保证是有效的结果。对于真实世界的代码来说,这远远不是事实。要求工具供应商优化他们对这种代码库的分析能力是适得其反的。 一个在合成代码库上表现良好的工具,绝不可能保证在真实世界的代码上表现良好。.

事实上,真正的漏洞往往是应用程序自身的代码和其依赖关系之间复杂的相互作用的结果。例如,用户控制的数据可能通过一个网络框架进入一个网络应用程序。然后,它可能流经应用程序自己的函数和数据结构,最终进入模板框架。对于一群志愿者(或政府机构)来说,持续保持他们的基准代码库或测试套件与大量流行框架和库的最新版本保持一致几乎是不可能的。

评估一个工具的假阳性率也很关键:如果一个工具产生了太多的假阳性,工程师就会在分流过程中损失太多时间,并最终完全停止使用该工具。不幸的是,通过在合成基准代码库上运行一个工具,很难衡量它的误报率。这些代码库并没有为其漏洞提供补丁,因此不可能确定一个工具是否会识别这样的补丁,或者标出一个假阳性。

我们需要你的帮助!

OpenSSF CVE基准是一个社区项目,由OpenSSF的安全工具工作小组发起,并且 我们希望得到您的帮助!

CVE基准目前包括218个影响开源JavaScript和TypeScript代码库的历史CVE。我们欢迎大家做出贡献,以扩大我们的数据集,或改进框架的工具。
基准框架目前为三种不同的安全工具提供集成。ESLint,nodejsscan,和CodeQL。为其他安全工具开发一个集成是很简单的;它通常需要<200行代码。 我们邀请大家来 贡献他们的集成 回到我们的开放源码库!

点击这里转发!

OpenSSF市政厅录音。现在可以使用!

通过 博客

ǞǞǞ 视频录制 2020年11月9日开源安全基金会(OpenSSF)"公共市政厅 "会议的报告 现已推出!本次会议分享了OpenSSF前三个月的最新情况并庆祝其取得的成就。它包括来自OpenSSF理事会、技术咨询委员会和工作组领导的发言。整个过程中会有提问和回答。它还包括关于如何 参与进来。

一目了然,市政厅议程。

  • 欢迎和概述
  • 正在发生的事情
    • 理事会 和规划委员会
    • 技术咨询委员会
    • 工作小组
      • 识别安全威胁 - 开源项目的安全指标
      • 安全工具 - 最先进的、全球通用的安全工具
      • 最佳做法--对安全最佳做法的认识和教育
      • 漏洞披露--高效的漏洞报告和补救措施
      • 数字身份认证--确保开放源代码的出处
      • 确保关键项目的安全--对关键开源项目的实践帮助
  • 讨论+问答

开源项目的安全记分卡

通过 博客

作者:Kim Lewandowski,谷歌产品经理

当OpenSSF启动时,我想做的第一件事就是帮助人们在消费开源项目时做出更好的安全决策,并让人们更多地了解我们所依赖的这些关键项目的健康状况。有些人可能会说,在你的软件系统中引入一个新的依赖关系几乎太容易了。在我以前的工程师生活中,我绝对犯了这样的错误。我记得我在建立自己的网站时随机拉入了Python包,而没有考虑到安全问题。如果有那么多人在使用同一个包,应该是没问题的,对吗?

随着开源软件攻击的增加,现在有更多的人意识到,把不是你写的开源代码拉到你的软件供应链中,应该值得仔细审查。在大型企业中,当试图对任何新的依赖关系进行自动化分析和信任决策,或对现有依赖关系的卫生状况进行更新时,这会变得有点棘手。这些问题是激发新的 "记分卡" 我们今天要发布的OpenSSF项目。 

计分卡的目标是为开源项目自动生成一个 "安全分数",以帮助用户决定其使用案例的信任、风险和安全态势。当项目或组织内部引入新的开源依赖关系时,该数据也可用于以自动化的方式增强任何决策。例如,组织可以决定任何低分的新依赖关系必须经过额外的评估。这些检查可以帮助减轻恶意依赖,使其不会被部署到生产系统中,就像我们最近看到的 恶意的NPM包.

我们已经定义了一个初步的评估标准,将用于以完全自动化的方式为一个开源项目生成一个记分卡。目前,该代码只适用于来自GitHub的软件库,但我们将扩展它以涵盖其他源代码库。使用的一些评估指标包括定义明确的安全政策、代码审查过程和使用模糊和静态代码分析工具的持续测试覆盖率。

利用记分卡数据,我们希望通过提高可见度来建立一种安全文化。我们希望与社区合作,改善我们所依赖的关键项目的安全状况。

现在是这个项目的早期阶段,虽然我们在这个问题上取得了一些进展,但我们还没有解决这个问题,需要社区的帮助来改进这些安全评估指标,并增加新的指标。有一个 小愿望清单 的问题已经在 repo 中。让我们一起为开源软件的更安全的未来而努力!

宣布。安全软件开发EdX课程,今天就报名吧

通过 博客

开源安全基金会(OpenSSF)已经开发了三套 免费课程 关于如何开发安全软件。这些课程属于 安全软件开发基础知识专业证书 计划,都可以在edX平台上获得。这份材料是为所有软件开发人员准备的,以便他们能够学会开发安全软件。它侧重于任何软件开发人员都可以轻松采取的实际步骤,而不是需要无限资源的理论或行动。

有兴趣的人可以 报名参加 从2020年10月29日开始。课程材料预计将于2020年11月5日发布。欲了解更多信息 点击这里.

今天,几乎所有的软件都受到了攻击,而许多组织和开发人员在防御方面却毫无准备。安全软件开发基础课程将使软件开发人员能够创建和维护更难成功攻击的系统,减少攻击成功后的损失,并加快反应速度,以便迅速修复任何潜在的漏洞。本课程所涉及的最佳实践适用于所有软件开发人员,并包括对那些使用或开发开放源代码软件的人特别有用的信息。

今天,48%的技术招聘经理表示,雇用具有安全专业知识的专业人员是一个高度优先事项(如2020年开源工作报告),所以没有一个更好的时间来从事这个课程。同样,安全软件开发人员的收入比美国全国平均水平的软件开发人员多35%(根据ZipRecruiter 2020年9月25日数据)。

该计划的课程讨论了风险和要求、设计原则以及评估代码(如包)的重复使用。然后集中讨论关键的实现问题:输入验证(如为什么要使用allowlists而不是denylists),安全地处理数据,向其他程序呼出,发送输出,密码学,错误处理,以及事件响应。随后是对各种验证问题的讨论,包括不同种类的安全工具。该课程最后讨论了部署和漏洞报告问题。

Chris Aniszczyk(云原生计算基金会(CNCF)首席技术官)说:"在当今世界,越来越多的公司使用更多的软件,自己成为软件公司,一切都变得互联互通,安全教育比以往更加重要。在CNCF,我们对这个新的安全专业证书感到兴奋,并打算让我们所有的项目领导层通过该计划中的课程,并建议你们在你们的社区也这样做。"

软件开发人员可以参加这三门课程中的每一门 无偿提供.他们可以在任何时候注册,然后他们将有有限的时间访问EdX上的课程材料。希望证明对材料的掌握程度(或对EdX上的材料有无限的访问时间)的开发者可以付费注册安全软件开发基础专业证书课程。该计划包括的课程有

  1. 安全软件开发。需求、设计和重用(LFD104x)。
  2. 安全软件开发。实施(LFD105x)
  3. 安全软件开发。验证和更多的专业主题(LFD106x)。

有兴趣的人可以 报名参加 从2020年10月29日开始。课程材料预计将于2020年11月5日发布。欲了解更多信息 点击这里.