跳到主要内容

与IBM供应链安全部STSM的Melba Lopez的贡献者问答

通过 10月 19, 2022#!31周一, 24 10月 2022 18:03:51 -0700p5131#31周一, 24 10月 2022 18:03:51 -0700p-6America/Los_Angeles3131America/Los_Angelesx31 24下午31下午-31周一, 24 10月 2022 18:03:51 -0700p6America/Los_Angeles3131America/Los_Angelesx312022周一, 24 10月 2022 18:03:51 -07000360310下午星期一=136#!31周一, 24 10月 2022 18:03:51 -0700pAmerica/Los_Angeles10#10月 24th, 2022#!31周一, 24 10月 2022 18:03:51 -0700p5131#/31周一, 24 10月 2022 18:03:51 -0700p-6America/Los_Angeles3131America/Los_Angelesx31#!31周一, 24 10月 2022 18:03:51 -0700pAmerica/Los_Angeles10#博客
QA Contributor Melba Lopez IBM

贡献者在OpenSSF和Linux基金会中扮演着重要的角色,所以我们想让你有机会认识一些开源软件(OSS)安全社区中的了不起的人。在接下来的几周里,我们将介绍维护者和贡献者,听听他们是如何来到这个社区的,他们的经历是怎样的,以及他们对其他人有什么建议。

认识Melba Lopez, STSM - 供应链安全, IBM

梅尔巴目前是一名高级技术工作人员(STSM),在IBM担任供应链安全的首席产品安全架构师。她有超过15年的行业经验,拥有网络安全方面的硕士学位,并拥有4项已颁发的专利,而且还将有更多的专利。

你是如何参与OpenSSF的? 

SLSA 定位技术小组负责人,SLSA行为准则的共同联系人,以及SLSA规范小组的贡献者。

对于定位SIG,我正在帮助推动业界广泛采用和认可SLSA作为生产软件和确保安全的软件供应链的 "通用语言"。我的一些职责包括

  • 主持每周一次的会议(工作会议/一般)。
  • 与其他标准/框架/法规相比,对SLSA进行评估
  • 对开源社区、全球产业和标准/监管机构进行有关SLSA的教育。

对于Specification SIG,我正在帮助提供一个关于如何接近/定义不同级别的SLSA的要求的观点。这包括

  • 确保要求明确,没有模糊不清的地方
  • 确保所有的人(而不仅仅是少数人)都能实现SLSA。
  • 确保如果一个组织/社区证明自己符合SLSA的要求,我们可以使行业信任并核实

你为什么选择参与其中?

我开始了供应链安全的新旅程,我从一个同事那里听说了SLSA。起初,这更像是一种好奇心,但后来演变成想要真正使这个框架/社区达到最佳状态。

请告诉我们您作为撰稿人的经验。 

我是开源的新手,不知道如何获得关于SLSA的信息(在网站之外)以及如何做出贡献。一段时间后,我偶然发现了一个GitHub页面,并最终发现了OpenSSF日历。当我第一次开始参加会议时,我确实感到有点不适应。有很多聪明人在讨论供应链安全问题,而我还在不断地积累自己的知识。我试图找出一种方法,在不踩到任何人的脚趾的情况下做出贡献,而且不围绕着编码。不要误会我的意思;我很喜欢编码,但我需要花一些时间来提高速度。最终,我开始在GitHub上发布一些问题,我自愿成为SLSA行为准则的联系人之一,成为SLSA定位特别兴趣小组(SIG)的负责人,并成为SLSA规范小组的积极贡献者。现在,我真的觉得自己是这个社区的一部分,因为我提供了一个多元化的视角,并帮助使SLSA更容易被采用和实现。

为什么成为贡献者很重要? 

对于SLSA来说,成为一个贡献者意味着我使更多的人能够更加安全。如果我们能使SLSA(或OpenSSF的任何东西)在行业中更加突出,那么我们都会更好。我们本质上会减少安全风险,那些可能没有很多安全人员的组织会更加安全。

你的教育和/或职业生涯是如何引导你来到这里的?

我一直听说过开源,但认为它只是为一群程序员准备的。直到IBM(他是开放源码的大力倡导者)向我介绍了这些不同的开放源码程序,才激起了我对OpenSSF和SLSA的兴趣。

是什么让你成为一名贡献者而获得回报?

我<3,我可以贡献不同的观点,并从其他组织(大或小)学习类似的挑战,不同的方法,或新技术。QA Contributor Melba Lopez IBM Quote

你对其他人有什么建议?

开放源码的参与不仅仅是程序员的事!他们也需要思想领袖和行业/学院的专业人士来帮助提供各种观点/用例,否则他们可能不会考虑。因此,即使是你能帮助的小事,也是一个双赢的结果

开源社区如何帮助促进更多的参与?

我希望所有的社区都能遵循的一个模式是有一个 "新手/办公时间 "会议/频道。这有助于让新人感到受到欢迎,了解如何参与,并在需要时获得帮助。不是每个人都习惯于使用GitHub或Slack,对于一个人来说,开始浏览这些工具和浏览一个新的社区可能会让人不知所措。

告诉我们一些关于你自己的有趣事情。

我真的很喜欢滑雪板和到不同的山头旅行!我最疯狂的经历是当我爬上 惠斯勒尝试其中的 "碗"。 顿时一片白茫茫!!。我不知道哪条路是上、下、左、右。在没有任何视角的情况下,你的身体/大脑不知道如何导航,这真是令人惊讶(也是一种绝对的恐惧)。


要认识本系列中的其他个人。 请查看我们的 "认识维护者 "和 "贡献者 "问答频道 我们将继续关注我们伟大的维护者和贡献者。

这篇文章代表作者的观点,不一定反映所有OpenSSF成员的观点。