记分卡正在成为IBM对我们产品和服务中的开源软件进行审查和策划的一个关键部分。IBM致力于帮助解决现代软件供应链中的系统性安全问题,并认为这项工作的一个重要部分是帮助开源生态系统提高操作系统项目的整体安全性。
阅读更多
即使是关于软件供应链安全的基本问题,回答起来也是出乎意料的困难。例如,与软件供应链安全相关的不同实践有多普遍?软件专业人员认为这些做法是有用还是无用?容易还是困难?为了帮助回答这些问题和相关问题,Chainguard、Eclipse基金会、Rust基金会和开源安全基金会(OpenSSF)合作进行了一次软件供应链安全调查。
软件产品的供应链级别(SLSA,发音为 "salsa")是一个OpenSSF项目,它为软件供应链安全提供了规范,是由行业共识建立的。SLSA的框架被组织成一系列的级别,描述了越来越严格的安全。SLSA规范的0.1版本已经发布了一段时间。我们一直在稳定地公开进行SLSA的更新工作,以便为 "1.0版 "做好准备。现在,我们有了1.0版本的草案,我们正在寻求你的最终反馈。
大西洋理事会网络技术倡议的一份新报告有助于阐明 "作为基础设施的开放源码 "的真正含义,以及它为什么重要。避免成功的陷阱:将开源软件作为基础设施的政策。
开源安全基金会(OpenSSF)欢迎八位来自领先技术公司的新成员。目前,OpenSSF成员总数超过100个,组织成员在2022年出现了88%的增长,来自不同的部门。新的OpenSSF一般成员承诺包括来自Amesto Fortytwo、Code Intelligence、Kusari、Privado、Scotiabank、Technology Innovation Institute(TII)。新的准会员包括开源商业联盟 - Bundesverband für digitale Souveränität e.V.和Python软件基金会。我们很高兴地看到,技术社区继续表现出对现在和未来的安全投资的坚定承诺。
我们很高兴地宣布开源安全基金会(OpenSSF)有史以来第一次在香港举行的会议!如果你想了解开源安全领域的最新挑战和领先举措,请加入我们。无论你是技术人员还是企业高管,如果你想听到关于开源安全的紧迫挑战和领先举措的最新信息,请加入我们。我们欢迎所有人。
我们很高兴能参加2月28日在东京举行的首届日本OSS安全会议,会议由开源安全基金会(OpenSSF)成员主办。我们的目标是创造一个地方,让那些对开放源码软件安全有相同认识和挑战的人能够聚集在一起,主要用日语分享信息,并共同向前迈进。
安全审计是提高关键项目安全性的一个极其有效的工具。2022年,OpenSSF和谷歌通过战略合作伙伴开源技术改进基金(OSTIF)赞助了一些安全审计和相关工作。今天,OSTIF发布了其独立安全审计影响报告。
在整个2022年,Linux基金会,特别是OpenSSF一直处于有关开源软件(OSS)社区和生态系统可持续性的一些重要对话的中心。我们的全球参与工作的很大一部分都集中在与公共和私营部门的领导人合作,以促进生态系统对开源软件安全的理解。
12月5日,在日本开源峰会期间,开源安全基金会(OpenSSF)举办了2022年日本OpenSSF日,这是一个为期半天的活动,致力于探索改善开源软件(OSS)安全的持续努力。在这一天里,贡献者和思想领袖通过关于安全最佳实践、漏洞发现、确保关键项目的安全以及开放源码安全的未来等主题的会议,分享了他们在开放源码安全方面的想法和经验。
