
作者:Brian Behlendorf, OpenSSF
8月23日,我们在 开放的SSF 和 日本Linux基金会 日本开放源代码安全峰会。来自20多家领先的日本公司的高级网络安全代表参加了会议,包括日立、富士通、LINE、NEC、NTT数据、丰田、铃木、东芝、SBI和OpenSSF成员。 瑞萨公司, 网络信托 和 Cybozu与日本的高级代表一起 经济产业省(METI), AIST, IPA 和 JP-CERT.我们召开会议讨论了开放源码软件(OSS)的安全挑战、全球软件供应链的现代挑战以及如何加速改进。这次会议是继今年早些时候Linux基金会和OpenSSF与美国白宫联合举办的类似峰会之后的又一次会议,表明世界各国政府和产业界对开放源码软件安全的关注和重视程度不断提高。
成果/主要收获
当天,Jim Zemlin首先概述了当前的全球形势,他介绍了其他国家政府对开源软件安全的重视以及在这方面的全球协调。为了进一步强调这一点,在他之后,专门为这次活动预先录制的讲话来自 国家网络总监Chris Inglis美国白宫网络战略主管,强调白宫致力于与开源社区和全球合作伙伴就这一主题进行合作,以及今天解决这一问题的紧迫性。
随后是由 上村正弘日本政府经济产业省(METI)负责网络安全和信息技术的副总干事。日本正在努力确保软件安全。经济产业省已经成立了一个特别工作组,研究软件管理方法,以确保网络物理安全。该工作组正在努力开发一套利用开放源码软件和确保其安全的管理方法,并进行 示范项目(PoC),以促进SBOM的利用,b如果PoC获得成功,他们将在许多领域快速推广。Uemura先生还分享了一份讨论他们的概念验证工作和路线图的文件。 他们允许我们分享该书的翻译版本。.他们迄今为止的工作深度给我们留下了深刻的印象,并渴望探索我们的SBOM工作,特别是动员计划中的 "SBOM无处不在",能够加速他们的努力。
在整个活动中,人们反复强调。开放源码软件安全是一个全球性的挑战。日本各行业与世界其他国家一样受到近期漏洞的严重影响--由于日本经济和社会的高度数字化,情况可能更加严重--需要全行业的努力来应对。
在OpenSSF主席杰米-托马斯(Jamie Thomas)的欢迎视频之后,我介绍了以下细节 开放源代码软件安全动员计划该计划确定了OpenSSF社区设计的10个不同的倡议,以实质性地影响开放源码软件的安全。我们讨论了该计划的每一个流如何与日本的国家政策和优先事项保持一致,以及日本工业界如何参与该计划的进一步定义和实施。
午餐后,我们决定深入研究该计划的一个具体方面。SBOMs。东芝的Takashi Ninjouji和Linux基金会的Shane Coughlan分享了他们在日本推动汽车和电子行业向OpenChain平台发展的工作,该平台使用SPDX标准的一个子集来实现SBOM共享系统。该系统目前正在生产中,用于安全用途,这表明日本公司可以在新技术适合的情况下成为前沿的采用者。从他们的部署经验中,我们学到了很多东西,这也为SPDX核心标准的进一步工作提供了借鉴,SPDX倡议的Kate Stewart也通过视频进行了讨论。我们分享了OpenSSF社区对SPDX核心库的投资,为SPDX 2.3及以后的版本进行现代化,以鼓励在客户和政府日益增长的需求下更广泛地采用。
最后,我们听取了我们在日本的OpenSSF成员--Cybertrust、Cybozu和Renesas--关于在日本改善开源软件安全的挑战和机会。
与会者普遍认为,今天的软件供应链在底层组件和操作上都严重依赖开源软件,日本也不例外,特别是考虑到日本工业界和政府很早就接受了开源软件。然而,减轻安全问题风险的长期战略需要长期思考和投资。会议室里的气氛似乎支持这样的观点:现在是日本企业和政府开始进行这些投资的时候了。
最后,经济产业省的上村先生分享了这个观点。
"由于我参加了今天的会议,我了解了很多包括开源软件安全的标准化在内的各种工作,开发者和美国政府在加强安全方面的政策措施上有什么方向,我认为这是一个非常有意义的会议。
作为经济产业省软件安全的重要事情,专案组将在业界的配合下,借助相关部委的力量进行考虑。在这里,如何进行SBOM的利用是一个很大的问题,但今天我能够与Linux基金会、OpenSSF等相关单位以及日本的参与者交换意见。利用未来研究的最新趋势,我们今天将继续努力,使之更好,更方便用户,更有效率,更有成本效益,并因此提高安全性"。
OpenSSF随时准备与世界各地的商业和政策团体接触,以制定一个以安全为中心的方法来使用和开发支撑现代全球社会的开源软件。让我们知道何时何地我们可以提供帮助!
-卜睿哲