开源安全基金会(OpenSSF)社区正在努力工作,以提高开源生态系统的安全性。这不是一个小任务,所以我们很高兴能分享所有正在发生的工作。如果你错过了我们最近的市政厅会议,可以找到相关资源 这里.
新成员
首先,我们很高兴地看到 宣布有10位新成员加入OpenSSF.来自整个行业的公司的承诺表明,优先确保运行我们的业务和生活的开源软件。我们的最新成员加入了至少35家其他公司,包括Accurics、Anchore、Bloomberg Finance、Cisco Systems、Codethink、Cybertrust Japan、OpenUK、ShiftLeft、Sontaype和Tidelift。
工作小组的进展
我们的工作组是完成工作的地方,来自整个行业的贡献者在最近几个月取得了重要进展。
漏洞披露
OpenSSF漏洞披露工作组旨在通过帮助成熟和倡导管理良好的漏洞报告和交流,来帮助提高开源软件生态系统的整体安全性。它的最新工作包括
- 开放源码软件漏洞披露良好实践白皮书,目标是9月发布。
- 与CVE委员会建立电话联系,听取对该计划的修改,并从我们的角度向他们提供反馈。
- 正在与CERT-CC就他们的VINCE漏洞协调工具的开源问题进行会谈。
最佳实践
开放源码软件开发者的最佳实践工作组致力于提高开放源码开发者对安全代码最佳实践的认识和教育。它的最新工作包括
- 一个收集相关安全良好实践、工具、资源等的资源页面,开始向开放源码软件开发者宣传。
- 罗塞塔石碑式的资源,显示了相关安全发展框架/法规之间的相似性和差距
- y将CRE项目提供的NIST 800-53要求连接到SKF,以便与使用该工具的开发人员分享学习。
- 记分卡2.0 - 谷歌在线安全博客。衡量开源软件的安全风险。记分卡推出V2 (googleblog.com)
关于OpenSSF
OpenSSF是一个跨行业组织,汇集了业界最重要的开源安全倡议以及支持这些倡议的个人和公司。它结合了Linux基金会为应对2014年Heartbleed漏洞而成立的核心基础设施倡议(CII)和GitHub安全实验室成立的开源安全联盟,以建立一个社区来支持未来几十年的开源安全。
欲了解更多信息并了解如何参与,包括参与工作组和咨询论坛的信息,请访问 https://openssf.org/getinvolved.
