我很高兴能在下周四(7月28日)在班加罗尔举行的开源安全基金会(OpenSSF)印度首次会议上发表演讲,该会议由OpenSSF首席会员Wipro主办。企业和政府越来越认识到需要优先考虑他们的软件供应链以及开源软件(OSS)在其中发挥的作用。鉴于开放源码软件对整个技术的影响越来越大,紧跟开放源码生态系统并为之做出贡献,已经成为战略优先事项。
阅读更多
通过。OpenSSF技术咨询委员会
2022年7月8日,Python软件包索引(PyPI)宣布了一项 安全钥匙赠品 在这里,"关键 "是指PyPI上前6个月下载量最大的1%的软件包。赠品包括PyPI要求所有关键项目的维护者在 "未来几个月内 "进行多因素认证(MFA)的意向声明。这与GitHub、RubyGems和npm为转向MFA所做的其他努力相似。人们对这一努力既表示赞扬,也表示关切。
我们 开放源代码安全基金会 (OpenSSF),是一个致力于提高开源软件(OSS)安全性的基金会。我们由来自不同利益集团(包括学术和商业)的组织和个人OSS贡献者组成。我们对这些正在进行的努力表示赞赏,因为它们有助于抵御当今不断增加的对OSS维护者账户的攻击。
努力和关注
PyPI的公告得到了不同的回应。自公告发布以来,许多维护者已经为他们的账户启用了MFA,要求他们的项目使用MFA,并利用了安全密钥的赠送。其他人则提出了合理的担忧,例如MFA要求的不完全普遍性,以及对维护者的要求和期望越来越高的趋势,即不仅要保证其开源的质量和安全,还要保证他们是谁以及他们如何编码,以便开源维护者使用社区基础设施。
存储库运营商在支持MFA方面有很大的负担,特别是围绕支持和账户恢复。为此,PyPI和许多其他公司一样(特别是 npm 和 红宝石),正在采用一种分阶段的推广方法,该方法使存储库运营商能够控制支持负担,同时为存储库用户提供好处。
维护者的负担也是一个合理的担忧。随着开放源码软件的普及,维护者越来越多地被要求支持他们创建的软件,在许多情况下,他们被要求超越他们签署的内容(例如,提供有用的代码 "原样")。OpenSSF提倡自动化工具,并鼓励安全措施尽可能地减少维护者的负担。当考虑增加需要项目维护者付出额外努力(一次性或经常性)的安全功能时,我们主张在实施这些功能时要特别考虑到维护者。这一点尤其重要,因为开放源码软件通常不会有任何保证(除非单独签订合同),而且消费者很少向维护者付费。维护者担心潜在的重大负担是完全合理的,尤其是他们可能认为这些努力是某种无偿的、隐含的保证,而他们并没有同意。
还值得注意的是,许多存储库(包括PyPI)是由开放源码软件维护者运营的,账户泄露给他们和所有其他下游用户带来了巨大负担。
虽然今天没有一个解决方案是完美的,但我们强烈支持PyPI在推出MFA方面的努力,并希望社区和维护者能够利用这个机会,在我们迈向更安全的开源的第一步中发挥领导作用。特别是,PyPI组织了一次安全密钥赠送活动,有足够的供应量为每个关键软件包的维护者提供两个密钥(一个主密钥和一个备份密钥)。PyPI上的安全密钥实现使用FIDO协议,这是一个现有的标准。此外,PyPI还支持使用基于时间的一次性密码(TOTP)作为额外的因素,这在所有主要操作系统的应用程序中都可以零成本获得,包括一些开源的实现。简而言之,他们正在采取措施,利用社区目前可用的技术,尽可能地减少维护者的负担。
MFA的案例
重要的是要明白,这些走向MFA的举措并不是在真空中发生的。有越来越多的案例表明,攻击者正在接管开源开发者的账户,并利用对这些账户的控制来改变项目的源代码和/或部署的软件包,对用户产生潜在的破坏性影响。
账号泄露是对JavaScript、Python和Ruby等动态编程语言的开源软件包的第二大最常见的供应链攻击(仅次于排版侵权)["努力衡量供应链对解释语言的包管理器的攻击"].帐户接管是许多攻击者的直接关注点;"eslint-scope",一个在npm中每周有数百万次下载的软件包,被攻破后盗取了该软件包用户的凭证。
当维护者使用MFA时,维护者的账户被接管的情况可以大大减少。这是因为攻击者通常通过窃取或破解密码,或通过对智能手机进行 "SIM卡交换 "攻击来接管账户。使用TOTP或物理令牌的MFA可以阻止这些攻击。这不仅仅是假想。 微软发现,99.9%的账户接管服务尝试被MFA所阻止。.
争取MFA的运动正在进行中
重要的是要明白,走向MFA的运动已经在进行中了;这不是PyPI独有的。
- GitHub将要求所有代码贡献者在2023年底前使用2FA.
- RubyGems(用于Ruby)在前100名RubyGems包的维护者的账户上未启用MFA时显示警告。 并将于8月15日开始执行。
- npm(用于JavaScript)正在向他们的第一批人强制推行2FA,即按依赖程度排名前100的npm软件包的所有维护者,并计划在更大范围内推广。
- OpenSSF自己的"伟大的MFA分配项目" 在2021年向一些开放源码软件项目免费发放MFA代币。
许多其他与开放源码软件相关的服务没有宣布对MFA的要求,但它们确实有对MFA的支持(在某些情况下已经支持了多年)。
一般来说,开放源码软件的用户希望软件的源代码和软件包来自开放源码软件的开发者,而不是来自接管开发者账户的攻击者。MFA是一种帮助维护这一假设的机制。
开放社会基金的支持
在OpenSSF,我们的使命是为所有参与者提高开源生态系统的安全性:开发者、用户和使我们的社区能够互动和共享的关键基础设施。
我们完全支持软件仓库运营商为帮助项目维护者和用户提高其仓库内容的可信度而做出的努力。我们相信,软件库应该继续做出改变,使所有用户对软件库内容的完整性以及从上游源代码到软件库中工件的映射有信心。
OpenSSF已经通过以下活动积极支持PyPI和其他软件库。 确保软件存储库的安全工作组 和赞助和资助。 阿尔法/欧米茄项目 这有助于实现急需的安全功能,同时尽量减少维护者的困难。如果你有兴趣帮助保障开放源码软件的安全,请加入我们,参与到 确保软件存储库的安全工作组 或其他 开放的SSF 活动!
我们很高兴地报告两个安全审计的结果,一个是Sigstore的,一个是slf4j的。安全审计的目的是发现漏洞,以便在攻击者利用这些漏洞之前对其进行修复,并找出机会来加强项目的实施和流程,以应对未来的漏洞。Sigstore和slf4j团队通过要求独立审查和积极参与审计过程,展示了对改善安全状况的坚定承诺。
Snyk与Linux基金会合作,对开源生态系统的安全问题进行了研究和报告。2022年开源安全状况报告显示,尽管开源软件包很受欢迎,但许多组织仍然没有围绕开源安全的良好政策和治理。
我们很高兴地宣布Fuzz Introspector的首次发布,这是OpenSSF成员的合作成果,通过分析函数、静态调用图和运行时覆盖信息,为开发者提供可操作的洞察力,以识别模糊覆盖的障碍。解决这些障碍将有助于提高模糊测试的覆盖率,从而发现更多的漏洞,并使用户对他们模糊测试的代码的可靠性更有信心。
10点开源和软件供应链安全动员计划发布,初始认捐额超过$30万
华盛顿特区 - 2022年5月12日 - Linux基金会和开源软件安全基金会(OpenSSF)将来自37家公司的90多名高管和来自NSC、ONCD、CISA、NIST、DOE和OMB的政府领导人聚集在一起,就提高开源软件的弹性和安全性所应采取的关键行动达成共识。
开源软件安全峰会II峰会是2022年1月13日由白宫国家安全委员会牵头举行的第一次峰会的后续。今天的会议是由Linux基金会和OpenSSF在拜登总统的讲话一周年后召开的。 关于改善国家网络安全的行政命令.
Linux基金会和OpenSSF在所有部门提供的投入下,提供了一个 首创性的计划 以广泛解决开放源码和软件供应链安全问题。 峰会II计划概述了两年内约1TP3-T1.5亿的资金,以迅速推进计划所确定的10个主要问题的经过严格审查的解决方案。这10个投资流包括具体的行动步骤,以实现更直接的改善,并为更安全的未来打下坚实的基础。
一部分参与组织已经走到一起,集体承诺为实施该计划提供首批资金。这些公司是亚马逊、爱立信、谷歌、英特尔、微软和VMWare,认捐了超过$3万。随着该计划的进一步发展,更多的资金将被确定,工作将随着各个环节的商定而开始。
这建立在OpenSSF社区成员对开源软件的现有投资之上。对我们的利益相关者的非正式调查显示,他们花费了超过$110M,雇佣了近百名全职员工,只为确保开源软件的安全。这个计划增加了这些投资。
关键语录
Jim Zemlin - Linux基金会执行董事。 "在拜登总统的行政命令发布一周年之际,今天我们在这里用一个可操作的计划来回应,因为开放源代码是我们国家安全的一个重要组成部分,它是今天在软件创新方面投资数十亿美元的根本。我们有共同的义务来提升我们集体的网络安全复原力并提高对软件本身的信任。 这个计划代表了我们统一的声音和我们共同的行动呼吁。摆在我们面前的最重要的任务是领导力"。
Brian Behlendorf - 开源安全基金会(OpenSSF)执行主任。 "我们在这里一起做的是汇聚一套想法和原则,即外面有什么问题,以及我们能做什么来解决它。 我们制定的计划代表了地面上的10面旗帜,作为开始的基础。 我们渴望得到进一步的投入和承诺,使我们从计划走向行动"。
Anne Neurenberger,白宫国家安全委员会负责网络和新兴技术的副国家安全顾问。
"拜登总统去年签署了关于网络安全的行政命令,以确保我们政府所依赖的软件是安全可靠的,包括运行我们关键基础设施的软件。 今年早些时候,白宫召开了一次政府和行业参与者之间的会议,以提高开源软件的安全性。 开源安全基金会对那次会议的工作进行了跟进,并召集了整个行业的参与者,以取得实质性的进展。 我们对所有参与者在这个重要问题上的工作表示赞赏"。
阿特拉斯公司
阿德里安-路德维格,首席信托官
"开源软件对于全球成千上万的开发团队所使用的许多工具和应用程序都是至关重要的。因此,在最近开放源码软件出现高调的漏洞之后,软件供应链的安全问题已经被提升到了大多数组织的首要位置。只有通过行业、政府和其他利益相关者的共同努力,我们才能确保开源创新在一个安全的环境中继续蓬勃发展。这就是为什么我们很高兴参加OpenSSF的原因,在这里我们可以围绕当今软件供应链安全所面临的关键问题进行合作,以提高人们的认识并推动采取行动。我们很高兴能成为推动有意义变革的关键贡献者,我们对通过与OpenSSF及其成员中志同道合的组织的合作所能取得的成果感到乐观。"
思科
埃里克-温格,思科系统公司技术政策部高级主管
"开放源码软件(OSS)是我们现代计算基础设施的一个基础部分。作为开放源码软件的最大用户和贡献者之一,思科在时间和资源方面进行了大量投资,以提高广泛使用的开放源码项目的安全性。今天的努力表明,利益相关者社区共同致力于以可衡量和可重复的方式使开源开发更加安全"。
戴尔
戴尔科技公司首席技术官办公室的技术专家Jim Medica。
"软件安全从未成为全球供应链中一个更加关键的部分。今天,在一个由 Anne Neuberger [linkedin.com]作为负责网络和新兴技术的国家安全副顾问,戴尔和我的开源安全基金会的同事们承诺将我们的软件安全专业知识用于执行开源软件安全动员计划。戴尔最优秀和最聪明的工程师将与同行一起开发基于风险的指标和评分仪表板,用于代码签名的数字签名方法,以及软件材料清单(SBoM)工具--所有这些都是为了应对开源软件安全的巨大挑战。这是戴尔为积极影响软件安全和开源安全解决方案所提供的领导力的一个很好的例子,并加强了我们对开源软件社区、对我们的供应链和对我们的国家安全的承诺"。
爱立信
Per Beming,标准和行业倡议负责人
"爱立信是开源生态系统的主要推动者和支持者之一,加速了一些关键技术领域的采用和行业调整。开源安全基金会(OpenSSF)是一个得到Linux基金会支持的全行业倡议,目的是提高开源生态系统的供应链安全。
"作为OpenSSF的董事会成员,我们致力于开源安全,我们完全支持动员计划,目的是提高开源生态系统的供应链安全。作为全球标准的倡导者和采用者,这些举措旨在从全球角度加强开源安全"。
GitHub
Mike Hanley,首席安全官
"确保开源生态系统的安全,首先要为开发者和开源维护者提供工具和最佳实践,以确保软件供应链的安全。作为全球8300万开发者的家园,GitHub在推动这些工作方面有着独特的优势和承诺,我们将继续投资,通过以下措施帮助开发者和维护者实现更好的安全成果。 在GitHub.com和npm上执行2FA, 开放采购GitHub咨询数据库, 通过GitHub赞助商为开发者提供资金支持,以及 通过GitHub安全实验室提供免费的安全培训.
"开放源代码的安全对所有软件的安全至关重要。第二届峰会是将私营和公共部门再次聚集在一起的重要下一步,我们期待着继续我们的伙伴关系,对软件安全的未来产生重大影响"。
谷歌
埃里克-布鲁尔,谷歌云的基础设施副总裁和谷歌研究员
"我们很感谢Linux基金会和OpenSSF今天召集社区讨论我们所面临的开源软件安全挑战,以及我们如何在公共和私营部门共同解决这些问题。谷歌致力于支持我们今天讨论的许多工作,包括创建我们新的开源维护团队,这个团队由谷歌工程师组成,他们将与上游维护者密切合作,提高关键开源项目的安全性,并通过更新关键项目,如SLSA、Scorecards;以及现在被Kubernetes项目使用的Sigstore,向社区提供支持。安全风险将继续横跨所有软件公司和开源项目,只有涉及全球开发者、政府和企业社区的全行业承诺才能取得真正的进展。谷歌将继续发挥我们的作用,以产生影响"。
IBM
杰米-托马斯,企业安全主管
"今天,我们有机会分享我们IBM政策实验室的建议,即了解软件供应链是提高安全性的关键。我们相信,通过SBoMs(软件材料清单)在软件供应链中提供更大的可见性,并将开源软件社区作为一种宝贵的资源,鼓励充满激情的开发人员进行创作,磨练他们的技能,并为公共利益做出贡献,这有助于加强我们的弹性。很高兴看到社区对合作保障开源软件的坚定承诺。安全性总是可以加强的,我今天要感谢Anne Neuberger的深刻承诺和开放的、建设性的技术对话,这将帮助我们为加强开放源码软件的安全性铺平道路。"
英特尔
Greg Lavender,首席技术官兼软件和先进技术集团总经理
"英特尔长期以来在为开放源码做出贡献方面发挥了关键作用。我对我们在未来为实现帕特的开放生态系统愿景所扮演的角色感到兴奋。在我们努力践行开放、选择和信任的核心开发者信条时,软件安全是创造未来创新平台的核心。"
梅丽莎-埃弗斯,软件和先进技术部副总裁,从战略到执行的总经理
"英特尔赞扬Linux基金会在推进开源安全方面的工作。英特尔在开源软件和安全计算方面有着悠久的领导和投资历史:在过去的五年中,英特尔在推进开源软件安全方面的投资已经超过$250M。随着我们接近开放生态系统计划的下一阶段,我们打算保持和增加这一承诺,以两位数的百分比继续投资于软件安全技术,并在社区内和从社区消费软件的人中推进改进的安全和补救做法。"
JFrog
Stephen Chin, 开发商关系部副总裁
"虽然开源一直被视为现代化的种子,但最近软件供应链攻击的兴起表明我们需要一个更强硬的验证开源库的过程。正如我们在JFrog所说,'伟大的软件伴随着伟大的责任',我们认真对待这项工作。作为一个指定的CNA,JFrog安全研究团队不断监测开源软件库中可能导致广泛的软件供应链攻击的恶意软件包,并相应地提醒社区。在此基础上,JFrog很自豪地与Linux基金会和其他OpenSSF成员合作,设计一套技术、流程、认证和政策,以帮助保护我们国家的关键基础设施,同时培育开源的核心原则之一--创新。"
摩根大通
Pat Opet,首席信息安全官
"我们很自豪能与开源安全基金会(OpenSSF)及其成员合作,创建新的 开放源代码软件安全动员计划, 这个计划将有助于解决软件供应链中的安全问题,这对于使世界上的软件对每个人都更安全、更有保障至关重要"。
微软
Mark Russinovich,微软Azure首席技术官
"开源软件几乎是每个公司的技术战略的核心。整个开源生态系统的合作和投资将加强和维持所有人的安全。微软承诺为OpenSSF提供$5M的资金支持关键的跨行业合作。我们对今天的峰会上社区、行业和公共部门的合作以及这对加强供应链安全的好处感到鼓舞"。
OWASP基金会
Andrew van der Stock, 执行董事
"OWASP的使命是改善全世界的软件安全状况。我们正在为开发者教育和认证做出贡献,以及解决改善SBOMs的状态和采用的行政命令。特别是,我们希望看到一个全面的、可消费的单一标准"。
Mark Curphey(OWASP的创始人)和John Viega(第一本关于软件安全的书的作者),分组协调人
"我们很高兴看到业界愿意在一个单一的'材料清单'格式上走到一起。它有可能帮助整个行业解决许多重要的问题,包括在开源软件出现重大新问题时大幅提高响应速度。"
SAP
Tim McKnight,SAP执行副总裁兼首席信息安全官
"SAP很荣幸能够成为开源软件安全峰会II的一部分,并为关于开源软件安全主题的重要对话做出贡献。
"SAP坚定地致力于支持开源软件安全动员计划的执行,我们期待着继续与政府、行业和学术界的合作伙伴合作。"
声波类型
Brian Fox,Sonatype的CTO和Maven Central的管理人。
"很少看到供应商、竞争对手、政府和不同的开源生态系统像今天这样走到一起。这表明我们在确保开源安全方面要解决的问题有多大,并强调没有一个实体可以单独解决这个问题。这就是所谓的 "安全"。 开放源代码软件安全动员计划 是一个伟大的步骤,使我们的社区与一些关键的战术结合在一起,首先是确保开放源码软件生产的安全,这将使整个开放源码生态系统更加强大和安全。"
维普罗
安德鲁-艾特肯,开放源代码全球负责人
"Wipro致力于通过参与OpenSSF和其他行业倡议来帮助确保软件供应链的安全,并且非常适合加强提供创新工具、安全编码最佳实践以及行业和政府宣传,以改善漏洞修复。
"作为OpenSSF生态系统中唯一的全球系统集成商,并根据其对OpenSSF目标的支持,Wipro将承诺对其100名网络安全专家进行LF和OpenSSF安全编码最佳实践方面的培训,并为其全球首要客户及其开发人员和网络安全团队举办培训研讨会。
"此外,Wipro将增加对Sigstore和SLSA框架的公共贡献,将它们整合到自己的解决方案中,并为这些关键项目建立一个由50多个贡献者组成的社区。"
关键背景
10点计划的三个目标
- 确保开源安全生产的安全
- 使基线安全的软件开发教育和认证成为专业开放源码软件开发者的新常态
- 为前10,000个开源组件建立一个公共的、供应商中立的、基于客观指标的风险评估仪表板。
- 加快软件发布中数字签名的采用
- 通过替换非记忆安全的语言来消除许多漏洞的根源。
- 改进漏洞发现和补救工作
- 加快维护者和专家对新漏洞的发现。
- 建立 "志愿消防员 "安全专家队伍,在关键时刻协助开源项目。
- 每年对200个最关键的开源软件组件进行第三方代码审查(以及任何必要的补救工作)。
- 协调全行业的数据共享,以改善研究,帮助确定最关键的开源软件。
- 缩短生态系统补丁的响应时间
- 随处可见的软件物料清单(SBOM)--改进SBOM工具和培训,以推动采用。
- 用更好的供应链安全工具和最佳实践来增强10个最关键的开源安全构建系统、软件包管理器和分发系统。
10点计划总结 (有完整的 这里)
- 安全教育 向所有人提供基线安全的软件开发教育和认证。
- 风险评估 为前10,000个(或更多)OSS组件建立一个公共的、供应商中立的、基于客观指标的风险评估仪表板。
- 数字签名 加快对软件发布的数字签名的采用。
- 记忆安全 通过替换非记忆安全的语言来消除许多漏洞的根源。
- 事故应对 建立OpenSSF开源安全事件响应小组,安全专家可以在应对漏洞的关键时刻介入,协助开源项目。
- 更好的扫描 通过先进的安全工具和专家指导,加速维护者和专家对新漏洞的发现。
- 代码审计 每年对多达200个最关键的OSS组件进行一次第三方代码审查(以及任何必要的补救工作)。
- 数据共享 协调全行业的数据共享,以改善研究,帮助确定最关键的开放源码软件组件。
- 到处都是SBOMs 改进SBOM工具和培训,以推动采用。
- 改善供应链 用更好的供应链安全工具和最佳实践来增强10个最关键的开放源码软件构建系统、软件包管理器和分发系统。
媒体联系
爱德华-库珀
openssf@babelpr.com
我们很高兴与大家分享,OpenSSF总经理Brian Behlendorf今天在美国众议院科学、空间和技术委员会作证。布莱恩的证词分享了开源安全基金会和更广泛的开源软件社区为提高开源软件的安全性和可信度而正在进行的工作。
布赖恩的书面发言稿链接如下 这里.
在OpenSSF日之前扩大了核心工作组
旧金山,2022年5月9日 -- ǞǞǞ 开放源代码安全基金会 (OpenSSF)是一个由Linux基金会主办的跨行业组织,汇集了世界上最重要的软件供应链安全倡议,今天宣布了15个来自领先的软件开发、网络安全、金融服务、通信和学术领域的新成员。
这一轮的承诺是由两个新的首要成员Atlassian和Sonatype领导的,他们将加入OpenSSF管理委员会。新的普通会员承诺来自Arnica、Bloomberg、Comcast、Cycode、F5、Futurewei Technologies、Legit Security、Sectrend、SUSE和Tenable。
"我们很高兴欢迎Atlassian和Sonatype这两家在现代软件开发和安全方面发挥关键作用的公司加入OpenSSF管理委员会。, Brian Behlendorf,OpenSSF的总经理。 "开源软件供应链攻击威胁着数十亿人赖以生存的创新基础。我们的15个新成员加入了一个由组织、开发人员、研究人员和安全专业人员组成的不断增长的社区,他们正在投入必要的时间和资源来应对这一不断变化的威胁环境。
开放源代码软件已经成为我们数字经济的基础。正如Linux基金会的2022年报告中指出的那样 软件材料清单(SBOM)和网络安全准备情况 报告显示,98%的组织定期使用开放源代码。同一项研究显示,72%的组织非常或极度关注软件安全问题。最近的漏洞,如影响Log4j的漏洞,使许多组织将软件供应链安全放在首位,并意识到需要充分了解开源生态系统,并为其做出贡献。从政府到企业,开源安全已经作为一个优先解决的问题被提上日程,因此,OpenSSF的会员数量正在快速上升。
在最新的承诺之前,OpenSSF经历了一个富有成效的时期,在这个时期,基金会扩大了其核心工作组,包括 确保软件库的安全.该小组旨在改善开发人员最常下载开源软件包的网络安全做法。
此外,6月20日,该基金会将举办为期一整天的会议,在 开放的SSF日.由工作组负责人发表的演讲将包括诸如最佳实践徽章和其他良好做法、你的开源项目必须考虑的三件事和确保关键项目的安全等主题。当天的会议将以一个关于保障开源软件安全的未来的小组讨论结束。 注册 所有参加会议的人都可以免费参加。 开放源代码峰会 会议。
首席会员报价
阿特拉斯公司
"开源软件对于全球成千上万的开发团队所使用的许多工具和应用程序都是至关重要的。因此,在最近开放源码软件出现高调的漏洞之后,软件供应链的安全问题已经被提升到了大多数组织的首要位置。只有通过行业、政府和其他利益相关者的共同努力,我们才能确保开源创新在一个安全的环境中继续蓬勃发展。这就是为什么我们很高兴加入OpenSSF,在那里我们可以围绕当今软件供应链安全所面临的关键问题进行合作,以提高人们的认识并推动采取行动。作为首要成员,我们很高兴能成为推动有意义变革的关键贡献者,我们对通过与OpenSSF及其成员中志同道合的组织合作所能实现的目标感到乐观。" - 阿特拉斯公司首席信任官Adrian Ludwig
声波类型
"作为Maven Central中最大的开源组件库的维护者,我们对近年来对开源的需求有多大有独特的看法。然而,随着这种需求的增长,不良分子已经认识到了开源的力量,并试图利用这种力量来对付这个行业。随着这些软件供应链攻击变得越来越普遍,开源开发者已经成为这场战斗的前线。我们在Sonatype的主要任务是帮助人们了解他们的软件供应链,并利用开源所能提供的所有好处,而不存在任何风险。OpenSSF和它的成员有着类似的愿景。我很高兴作为董事会成员在OpenSSF中发挥更大的作用,并与其他成员共同合作,保持开源生态系统的安全和可靠,因为我们都在想办法与社区的新旧攻击作斗争。" - Brian Fox,Sonatype公司首席技术官和联合创始人
普通会员报价
山金车
"软件供应链的攻击载体一直让安全界措手不及。根据Arnica对2018年以来所有攻击的研究,我们发现两个一致的根源。一是对源代码的访问管理不当,二是无法检测开发者工具集的异常行为。解决这些差距的旅程是漫长的,我们正在努力逐一完善每个风险缓解策略,首先是为GitHub引入有史以来第一个自助式访问管理。" - Nir Valtman,Arnica联合创始人兼首席执行官
彭博社
"我们非常高兴能加入开源安全基金会(OpenSSF),该基金会的公益性、开放性和透明度,以及多样性、包容性和代表性的价值观与彭博社的价值观一致。作为一个 "开源第一 "的组织,我们非常重视开源及其在金融领域的使用,我们完全致力于帮助确保开源软件供应链的安全,我们已经通过我们的首席技术官办公室和工程组织之间的持续合作进行投资。" - Gavin McNay,彭博社CTO办公室的安全架构师
康卡斯特
"康卡斯特致力于开放源代码软件。我们用它来构建产品,吸引人才,并开发我们的技术来改善客户体验。当涉及到开源安全时,每个人都在发挥着作用。我们很高兴与全球开源社区一起加入OpenSSF,看看我们如何能够继续发展,使开源开发更加安全。" - 新拉-塞比,康卡斯特有线电视公司,开源项目办公室负责人
F5
"开源使用的增长放大了为所有人推进开放源码软件供应链安全的重要性,这只能作为行业中的一个共同优先事项来实现。在F5,我们致力于确保我们客户的应用程序在任何环境下都是快速、可用和安全的。这就是为什么我们重视开源安全基金会及其参与成员的工作,并期待着分享我们的领域专业知识,以帮助推进这项重要工作。" - 耿林,执行副总裁兼首席技术官,F5
未来之光技术公司
"OpenSSF是一个关于开源安全的首要和领先组织。Futurewei非常高兴能够加入OpenSSF,并参与关于开源安全和可持续发展这一重要议题的对话。我们期待着与OpenSSF进行令人兴奋的讨论和合作"。 - Chris Xie, 开源战略和业务发展部负责人
合法安全
"Legit Security很高兴加入OpenSSF,以推进开源生态系统内软件供应链的安全,并为组织提供工具,以确保构成SDLC的基础设施--如管道和系统--的安全。据估计,对软件供应链的攻击每年会增加三到六倍,是一种全球性的威胁。我们期待着与OpenSSF合作,发布安全研究,为整个社区更安全的软件交付和消费贡献工具和代码"。 - 利亚夫-卡斯皮,Legit Security的首席技术官
纪元
"能够成为这个行业领先的开源安全基金会(OpenSSF)的一部分,我们感到非常兴奋。在这一倡议下,我们Sectrend与全球各行业的其他一流同行一起,旨在协助任何规模的组织解决开源软件的安全和许可合规风险。确保软件供应链的安全对每个公司都非常关键。在OpenSSF或Linux基金会的框架内,Sectrend将在工具、培训、研究、最佳实践和咨询方面为这个社区驱动的进程做出巨大贡献。超越安全,超越开源"。 - Alex Xue, CEO, Sectrend
SUSE
"根据经济学人影响调查的最新研究,95%的组织正在实践开放式创新,这表明开源软件对企业的基础设施和应用是多么关键。随之而来的是对软件安全的需求,这就是为什么SUSE对安全和合规性风险采取了积极的态度,利用工具实现全生命周期的安全,包括漏洞管理、CI/CD管线安全、运行时安全和政府安全认证。SUSE加入OpenSSF是为了进一步合作,以确保开源软件供应链的安全"。 - 布伦特-施罗德,SUSE首席技术官办公室主任
騰訊
"我们很自豪能够成为OpenSSF的一部分,并加入这么多了解确保开源软件及其相关供应链安全的关键重要性的业界同行。Log4j向世界展示了开放源码软件的使用是多么的普遍,以及如果没有适当的开发和控制来保护它,它是多么的脆弱。Tenable致力于提高攻击面的可见性,包括向安全软件开发转移,帮助企业了解整个系统的风险所在"。 – Glen Pendley,首席技术官,Tenable
该基金会还宣布了新的准会员,包括日食基金会、中国信息通信研究院(CAICT)和中国科学院(ISCAS)。
其他资源
- 查看 OpenSSF成员的完整名单
- 参加会议 6月20日Linux基金会开源峰会上的OpenSSF日
- 贡献努力 加入一个或多个活跃的OpenSSF工作小组
- 阅读 OpenSSF和哈佛大学的Census II报告,阐明了在应用库层面最常用的FOSS包。
关于OpenSSF
由Linux基金会主办的OpenSSF(于2020年8月启动)是一个跨行业组织,汇集了业界最重要的开源安全倡议以及支持这些倡议的个人和公司。它结合了Linux基金会为应对2014年Heartbleed漏洞而成立的核心基础设施倡议(CII)和GitHub安全实验室成立的开源安全联盟,以建立一个社区来支持未来几十年的开源安全。OpenSSF致力于合作,并与上游和现有社区合作,为所有人推进开源安全。欲了解更多信息,请访问。 https://openssf.org/
关于Linux基金会
Linux基金会成立于2000年,其项目得到了1800多个成员的支持,是全球领先的开源软件、开放标准、开放数据和开放硬件的合作之家。Linux基金会的项目对世界的基础设施至关重要,包括Linux、Kubernetes、ONAP、Node.js、Hyperledger、RISC-V等等。 Linux基金会的方法专注于利用最佳实践,解决贡献者、用户和解决方案提供者的需求,以创造可持续的开放合作模式。欲了解更多信息,请访问我们的网站。 linuxfoundation.org
媒体联系方式
Babel for OpenSSF
作者:Caleb Brown和David A. Wheeler,代表确保关键项目工作小组
今天,我们很高兴地宣布,最初的原型版本的 包装分析项目这是一个OpenSSF项目,旨在解决识别流行的开放源码库中的恶意软件包的挑战。在短短一个月的分析中,该项目发现了超过 200 上传至PyPI和npm的恶意软件包。
软件包分析项目旨在了解开源软件库中的软件包的行为和能力:它们访问什么文件,连接什么地址,运行什么命令?该项目还跟踪软件包行为方式随时间的变化,以确定以前安全的软件何时开始出现可疑的行为。这项工作旨在通过检测恶意行为,告知选择软件包的消费者,并向研究人员提供有关生态系统的数据,从而提高开源软件的安全性。尽管该项目已经开发了一段时间,但在根据最初的经验进行了广泛的修改之后,它最近才变得有用。
我们检测到的绝大多数恶意软件包都是依赖性混乱和错别字攻击。我们发现的软件包通常包含一个简单的脚本,在安装过程中运行,并调用关于主机的一些细节。这些软件包很可能是安全研究人员的作品,他们在寻找bug赏金,因为大多数软件包除了机器的名称或用户名之外,并没有渗入有意义的数据,而且他们没有试图掩饰自己的行为。尽管如此,这些软件包中的任何一个都可能对安装它们的不幸受害者造成更大的伤害,因此,软件包分析为这些类型的攻击提供了一种反措施。
参与这个项目有很多机会,我们欢迎任何有兴趣为未来目标作出贡献的人。
- 检测包装行为随时间变化的差异。
- 自动处理包装分析的结果。
- 储存包裹本身,因为它们被处理为长期分析。
- 并提高管道的可靠性。
查阅我们的 GitHub项目 和 阶段性成果 以获得更多的机会,并随时参与到我们的活动中来。 OpenSSF Slack.这个项目是OpenSSF的努力之一。 保障关键项目工作组.你还可以探索其他OpenSSF项目,如 SLSA 和 淘宝网这些措施超越了包装本身的安全,解决了整个供应链的包装完整性。
作者。达斯汀-英格拉姆(谷歌),雅克-切斯特(Shopify)。
软件库是任何一个开源生态系统的重要组成部分:它提供了一个可信的中央渠道来发布、存储和分发开源的第三方软件给所有消费者。几乎每一个软件生态系统都存在软件包索引和软件包管理器,它们有许多相同的目标、功能和威胁。
但是这些资源库和相关的工具都是独立开发的,多年来它们之间很少有知识共享。这意味着同样的问题被反复解决,而且大多是孤立的。随着提高这些关键资源库的整体安全性变得越来越重要,这些资源库之间的协作和知识共享也变得非常重要。
今天,我们宣布成立保障软件库工作组,这是一个社区合作,重点是软件库、软件注册处和依赖它们的工具(如软件包管理器)的维护者,包括系统、语言、插件、扩展和容器系统等各个层面。
我们召集了许多对许多开源生态系统至关重要的软件库的主要维护者、贡献者和利益相关者参加该小组,其中包括Java、Node.js、Ruby、Rust、PHP和Python。
这个工作组提供了一个分享经验和讨论共同问题、风险和威胁的论坛。它还提供了一个合作环境,以便在引进新的工具和技术方面保持一致,以加强和保护我们各自的软件库,例如 淘宝网.
你可以在我们的网站上了解更多关于工作组的目标。 储存库 和 包机,通过公众号加入我们的会议 OSSF日历或在以下网站找到我们 OpenSSF Slack 在#securing_software_repos频道。如果你维护或运营任何类型的软件库系统,请加入进来吧
