在OpenSSF供应链完整性工作组(SCI WG)内,我们正在主持一个由个人和组织组成的全球社区,为供应链安全的可扩展标准化可证明的做法进行合作。在这个过程中,我们正在为行业开发一个共享的词汇,一个共同的问题模型,以及跨越语言和生态系统的统一框架。
阅读更多
我们最近在不列颠哥伦比亚省温哥华举行的北美开源峰会上举办了OpenSSF日,围绕开源安全的现状进行了一整天的会议演讲、小组讨论和闪电式会谈。如果你没能参加,现在可以在我们的YouTube频道上观看视频,以下是当天的一些主要收获。
我们在SBOMs方面处于什么位置,社区在未来可能会走向什么?在布鲁塞尔FOSDEM 2023会议期间举办的2023年SBOM Devroom上,与会者讨论了与生成、理解、管理和转换软件物料清单(SBOM)有关的各种议题。
OpenSSF与Linux基金会研究部合作,最近推出了一项新的调查,以更好地了解OpenSSF软件安全意识。请在今天参加调查,分享您对我们的举措以及我们如何改进的反馈。我们希望听到你的意见!
开源安全基金会(OpenSSF)欢迎来自领先技术公司的四个新成员:日立、洛克希德-马丁、Salesforce和SAP。OpenSSF还欢迎新的总经理,Omkhar Arasaratnam,资深的网络安全和技术风险管理执行官。另外,微软和谷歌承诺为Alpha-Omega继续提供$500万美元的资金。
让我们先把话说清楚:你如何才能最好地加入像OpenSSF这样的组织并不总是很清楚。这就是为什么我以一个 "局外人 "的身份写这篇客座博文。我只是一个普通的技术雇员,自从我的公司Sonatype成为OpenSSF的成员后,我的参与程度逐渐提高。如果你是第一次加入,推荐的参与路径实际上是 "选择你的冒险!"
开放源代码安全基金会(OpenSSF)很荣幸地宣布,软件产品供应链等级(SLSA)的1.0版本已经发布。SLSA是OpenSSF的一个项目,为软件供应链安全提供规范,由社区专家共识建立。SLSA 1.0版本的稳定发布降低了改进的门槛,帮助你把精力集中在改进你的构建上,并减少了在整个供应链中被篡改的机会。
在管理软件供应链方面,SBOM的使用正变得越来越重要。主要的消费用例是通过将SBOM中列出的依赖关系映射到CVE,来评估依赖关系的已知漏洞风险。 在这篇博文中,我们建议将SBOMs与OpenSSF Scorecard一起使用,以评估产品的风险。
