跳到主要内容

你喜欢的软件库,现在一起工作了

通过 4月 19, 2022博客

作者。达斯汀-英格拉姆(谷歌),雅克-切斯特(Shopify)。

软件库是任何一个开源生态系统的重要组成部分:它提供了一个可信的中央渠道来发布、存储和分发开源的第三方软件给所有消费者。几乎每一个软件生态系统都存在软件包索引和软件包管理器,它们有许多相同的目标、功能和威胁。

但是这些资源库和相关的工具都是独立开发的,多年来它们之间很少有知识共享。这意味着同样的问题被反复解决,而且大多是孤立的。随着提高这些关键资源库的整体安全性变得越来越重要,这些资源库之间的协作和知识共享也变得非常重要。

今天,我们宣布成立保障软件库工作组,这是一个社区合作,重点是软件库、软件注册处和依赖它们的工具(如软件包管理器)的维护者,包括系统、语言、插件、扩展和容器系统等各个层面。

我们召集了许多对许多开源生态系统至关重要的软件库的主要维护者、贡献者和利益相关者参加该小组,其中包括Java、Node.js、Ruby、Rust、PHP和Python。

这个工作组提供了一个分享经验和讨论共同问题、风险和威胁的论坛。它还提供了一个合作环境,以便在引进新的工具和技术方面保持一致,以加强和保护我们各自的软件库,例如 淘宝网.

你可以在我们的网站上了解更多关于工作组的目标。 储存库包机,通过公众号加入我们的会议 OSSF日历或在以下网站找到我们 OpenSSF Slack 在#securing_software_repos频道。如果你维护或运营任何类型的软件库系统,请加入进来吧