跳到主要内容

OpenSSF和Linux基金会在白宫峰会上应对软件供应链安全挑战

通过 1月 13, 2022博客

今天是Linux基金会与公共部门组织交往历史上的一个重要时刻。白宫召集了开源开发者和商业生态系统的一个重要部门,以及许多美国联邦机构的领导人和专家,以确定开源软件供应链中存在的挑战,并就如何减少风险和加强复原力交流意见。 

在这次会议上,Linux基金会和开源安全基金会(OpenSSF)代表他们的数百个社区和项目,强调了集体的网络安全努力,并分享了他们在公共和私营部门与政府合作的意向。 

Linux基金会执行董事Jim Zemlin说:"保护关键基础设施包括保护运行其银行、能源、国防、医疗保健和技术系统的软件。当一个广泛使用的开源组件或应用程序的安全受到损害时,每个公司、每个国家和每个社区都会受到影响。这不是美国政府特有的问题;这是一个全球性的问题。我们赞赏美国政府在促进更加关注开源软件安全方面的领导力,并期待着与全球生态系统合作,以取得进展。特别是 开放的SSF 是我们应对广泛的开源软件供应链挑战的关键举措,听到我们的工作被其他与会者确定并认可为进一步合作的基础,我感到非常振奋。" 

开源安全基金会的执行董事Brian Behlendorf评论说:"在今天的会议上,我们分享了一组关键的机会,在这些机会中,如果每个人都做出足够的承诺,我们就可以对保护和改善我们的软件供应链安全所需的关键努力产生实质性的影响。开放源码生态系统将需要共同努力,进一步开展网络安全研究、培训、分析和修复在关键开放源码软件项目中发现的缺陷。这些计划得到了积极的反馈,并有越来越多的人集体承诺要采取有意义的行动。在最近的log4j危机之后,公共和私人合作的时间从未如此紧迫,以确保开源软件组件和它们所流经的软件供应链表现出最高的网络安全完整性。"

布赖恩继续说:"通过努力,如我们的工作小组在 最佳实践, 识别关键项目, 衡量标准和记分卡, 项目Sigstore以及即将宣布的更多信息,OpenSSF已经对今天会议上讨论的许多关键领域产生了影响。我们已经准备好进一步推动这些努力,并欢迎这次对话和进一步的此类对话可能带来的所有新参与者和资源"。

这篇文章代表作者的观点,不一定反映所有OpenSSF成员的观点。