我们讨论创建SBOMs已经有十多年了,但它是否让我们更接近硬化我们的软件开发实践?SBOMs提供了关键的供应链数据,但我们根本没有利用这些数据来推动我们的供应链决策。仅仅要求生成SBOM并不是答案。前进的道路是什么?
阅读更多
最佳实践工作组的目标是为开源开发者提供围绕开发和安全的最佳实践建议。这个工作组专注于为开发者提供指导和工具,以便于学习和应用,从一开始就是OpenSSF的一部分。了解更多关于我们工作组的目的和活动,我们在过去几个月的工作内容,以及你如何参与我们的倡议。
每个软件库都面临着保护开源软件生产者和消费者的挑战性任务。他们必须抵御各种威胁,在复杂的选项菜单中游刃有余地强化他们的系统和程序,以应对攻击者。OpenSSF安全软件库工作组(SSR WG)去年对11个主要软件库的维护者进行了调查,以了解他们目前的安全态势和未来的发展方向。这项调查的结果现在已经出来了。
Linux基金会项目的主要活动是就技术挑战进行公开合作,为开发者、公司、行业和整个社会带来切实的改进。我们一直以来的重点是将开放源代码作为真正伟大成果的起点,以改善我们--以及世界--每天依赖的技术。今天,我们已经澄清了用户向Sigstore社区托管的实例提交数据时适用的条款。我们希望与你分享一些变化,以帮助社区更好地理解我们所做的工作。
在软件开发中,安全问题曾经是一个事后的想法。安全是笨重或不方便的,往往是因为它是一个 "螺栓"。在过去的两年里,这种情况已经迅速改变。现在,世界终于意识到,安全需要被 "烘烤",而不是 "栓上"。如果这项工作由非盈利基金会指导,并由多个公共和私人机构持续提供资金支持,那么开放源码软件的安全工程和开发就可以实现有意义的、有影响的改进,跨越生态系统。
SBOM Everywhere是OpenSSF的安全工具工作组中的一个特殊兴趣小组(SIG)。9月,我们资助了SPDX Python库的工作,现在我们很高兴地报告最近发布的Python SPDX-Tools包的0.7.0版本,它可以在GitHub和PyPI上下载。请继续阅读关于SBOM Everywhere、SPDX-Tools的更多细节,以及这对更广泛的开源社区意味着什么。
记分卡正在成为IBM对我们产品和服务中的开源软件进行审查和策划的一个关键部分。IBM致力于帮助解决现代软件供应链中的系统性安全问题,并认为这项工作的一个重要部分是帮助开源生态系统提高操作系统项目的整体安全性。
即使是关于软件供应链安全的基本问题,回答起来也是出乎意料的困难。例如,与软件供应链安全相关的不同实践有多普遍?软件专业人员认为这些做法是有用还是无用?容易还是困难?为了帮助回答这些问题和相关问题,Chainguard、Eclipse基金会、Rust基金会和开源安全基金会(OpenSSF)合作进行了一次软件供应链安全调查。
软件产品的供应链级别(SLSA,发音为 "salsa")是一个OpenSSF项目,它为软件供应链安全提供了规范,是由行业共识建立的。SLSA的框架被组织成一系列的级别,描述了越来越严格的安全。SLSA规范的0.1版本已经发布了一段时间。我们一直在稳定地公开进行SLSA的更新工作,以便为 "1.0版 "做好准备。现在,我们有了1.0版本的草案,我们正在寻求你的最终反馈。
大西洋理事会网络技术倡议的一份新报告有助于阐明 "作为基础设施的开放源码 "的真正含义,以及它为什么重要。避免成功的陷阱:将开源软件作为基础设施的政策。
