作者:Josh Bressers (Anchore) 和 Kate Stewart (SPDX)
几个月前,OpenSSF发布了一项动员计划,旨在提高开源软件的弹性和安全性。该计划的一个关键组成部分是使用软件材料清单(SBOM)作为基础构件,以改善整个开源生态系统的安全态势,称为SBOM Everywhere。顾名思义,SBOM Everywhere正致力于以非破坏性的方式将SBOM引入所有的开源领域。
SBOM Everywhere项目的第一项工作是创建一个计划,使OpenSSF能够资助SPDX Python库的工作。我们很高兴地宣布,这个计划已经被批准,并在9月1日开始工作
独自一人,我们能做的太少;一起努力,我们能做的太多。
海伦-凯勒
SPDX
SPDX是一个描述软件材料清单的标准。这就像你的软件的成分表。SPDX规范是一个国际开放标准,被称为 ISO/IEC 5962:2021.虽然SPDX是描述SBOM应该是什么样子的标准之一,但SPDX项目也包含一些技术项目,如创建和解析SPDX SBOM数据的工具和库。 该项目是由社区志愿者为规范和工具所做的努力发展起来的,任何人都可以免费加入和参与。 然而,志愿者随着时间的推移而变化,主要从事他们感兴趣的部分的工作,所以出现了差距。
SPDX有许多库,供开发者用来创建和解析SPDX的SBOM数据。 这些库的工作是由社区志愿者在很长一段时间内完成的。 一段时间以来,我们知道SPDX的python库需要更新,以使其与更多的现代SPDX版本保持一致,并将代码变成更容易维护的东西,以减少社区贡献的难度。SPDX python库没有具备适当技能或资金的志愿者来完成这项工作。然而,OpenSSF确实有资金可以完成这项工作。
一项巨大的任务
OpenSSF是一个基金会,其任务是保障开源软件的安全,提高我们所依赖的开源软件的安全性,为现代文明提供动力。这是一个巨大的任务,OpenSSF必须与社区合作,这不是什么秘密。在OpenSSF内部,有一个工具工作小组,在工具工作小组中,有一个名为SBOM Everywhere的小组,其任务是使SBOM的创建和消费对每个人来说更容易。SBOM Everywhere属于 开放源代码软件安全动员计划.
对于一个基金会来说,希望利用他们的资金专注于基金会直接控制并可能拥有知识产权的内部项目是非常常见的。在这种情况下,OpenSSF对SPDX Python库没有控制权。在这方面,OpenSSF的领导层是相当有远见的。OpenSSF理解这项工作比OpenSSF大得多,并将使整个开源社区受益。
下一步是什么?
OpenSSF的动员计划有十个工作流。有很多工作要做,但这是一个早期的例子,表明当我们都愿意一起工作时,我们可以完成什么。经常有关于开源社区的宏大解释,但现实是它更像是数百万个相互松散的小团体。如果每个人都试图把他们的努力限制在一个小团体中,那么结果将总是很小。如果我们想要大的成果(动员计划就是如此),我们需要大的团体和大的想法。
SBOM Everywhere特别兴趣小组(SIG)刚刚开始。这是该小组最初的努力之一。SBOMs正变得非常重要。我们看到它们出现在法规、立法、标准、甚至正式要求中。我们知道使SBOMs易于使用和消费并不容易,但却极为重要。如果SBOMs不变得更容易创建、使用、存储和分发,它们就不可能在行业内广泛使用。
请来 帮助 如果你对保障开源有兴趣,这些天一切都在保障开源。如果你创建了软件,你就是开源社区的一部分。OpenSSF是一个由贡献者组成的多样化社区,有很多工作要做,我们很希望有你的加入
每个人都说他们认真对待安全问题,但这是一个行动胜于雄辩的例子。OpenSSF、其成员组织和志愿者不仅认真对待安全问题,他们还在做我们都需要的工作,以应对现代的安全挑战。OpenSSF是相当新的,各地的SBOM是全新的。看看未来几年和几个月会有什么样的新想法和活动,这将是不可思议的。资助一个python库的更新,从大的方面看可能不是什么大问题,但这是将是一个惊人的、复杂的、有影响的旅程的第一步。
