跳到主要内容

OpenSSF年度回顾

通过 12月 29, 2022#!31周五, 13 1月 2023 14:51:01 -0800p0131#31周五, 13 1月 2023 14:51:01 -0800p-2America/Los_Angeles3131America/Los_Angelesx31 13下午31下午-31周五, 13 1月 2023 14:51:01 -0800p2America/Los_Angeles3131America/Los_Angelesx312023周五, 13 1月 2023 14:51:01 -0800512511下午星期五=136#!31周五, 13 1月 2023 14:51:01 -0800pAmerica/Los_Angeles1#1月 13th, 2023#!31周五, 13 1月 2023 14:51:01 -0800p0131#/31周五, 13 1月 2023 14:51:01 -0800p-2America/Los_Angeles3131America/Los_Angelesx31#!31周五, 13 1月 2023 14:51:01 -0800pAmerica/Los_Angeles1#博客
OpenSSF Year in Review 2022

作者:Brian Behlendorf, OpenSSF

2022年是开源安全基金会(OpenSSF)的重要一年。作为一个将领导者和成员组织聚集在一起改善开源软件安全的跨行业合作,我们在这一年里成功地建立了我们现有的倡议,并为未来创建了基础。本着这一精神,我们很高兴地宣布,我们已经出版了《开放源代码安全基金会》。 有史以来的第一份年度报告

一个繁荣的、多样化的、不间断的社区

OpenSSF是一个蓬勃发展、多样化、不间断的社区。在超过30个不同的活跃软件项目和其他技术倡议中,我们已经能够拥有我们所需要的范围和影响,以应对我们都知道的全球软件安全挑战,这些挑战只会越来越激烈,成本越来越高。 

今年是各国意识到需要考虑、纳入和投资于开源软件安全的一年,作为确保关键基础设施可靠性的一部分。这个社区正在崛起,以使这些努力真正跨行业所需的那种粗略共识和运行代码来满足这种意识。

在2022年的过程中,OpenSSF的成员增加到一百多个各类组织。超过六百名不同的个人为我们的技术倡议做出了贡献。

下载OpenSSF年度报告

OpenSSF年度报告为您带来了理事会(GB)和技术委员会咨询委员会(TAC)主席的致辞、2022年的主要亮点、工作组(WG)和项目的最新情况、我们在与美国白宫举行的OSS峰会II上发布的开源软件(OSS)安全动员计划的回顾,以及关于OpenSSF在整个一年中的影响的讨论。尽管我们是一个相对年轻的组织,并且 刚刚在2020年推出在2022年期间,我们已经形成并加强了多种伙伴关系、项目和活动,以促进开源软件的安全状况。 

2022 OpenSSF Annual Report

2022年的几个亮点

  • Sigstore达到普遍可用性。 2022年10月,Sigstore 达到普遍可用 在其首次同名活动SigstoreCon North America上。Sigstore促进了对软件的签署、验证和保护,它不断看到大量的贡献和采用,改善了软件供应链的完整性,减少了开发人员在安全方面面临的摩擦。2022年6月,一个关于Sigstore的新课程被发布。 用Sigstore保证你的软件供应链的安全.
  • 启动Alpha-Omega项目。 2022年2月,OpenSSF推出了 α-Omega项目Alpha-Omega是一个致力于改善开源软件安全状况的项目,初始投资为$5百万。2022年,Alpha-Omega向包括Node.js、jQuery、Eclipse基金会、Python软件基金会和Rust基金会在内的项目累计发放了超过$200万美元的资助。 
  • 安全培训。 The Best Practices for Open Source Developers WG通过对其免费培训课程的改进和更新,提高了对安全最佳实践的认识和教育。 开发安全软件.这包括将该课程纳入组织学习管理系统(LMS),以及翻译成日语。该工作组还发布了 简明指南 在 "开发更安全的软件和评估开放源码软件 "的会议上,他提供了一个关于开发更安全的软件和评估开放源码软件的报告。 npm最佳实践指南 对于那些使用流行的npm软件包管理器的人来说。
  • OSS安全动员计划。 遵循 美国白宫 召开的会议 围绕保障开源软件的安全,OpenSSF将开源开发者、公司和联邦政策制定者聚集在一起,发布了 开放源代码软件安全动员计划 并宣布了$3000万的认捐,以改善开放源码软件生态系统的弹性和安全性。动员计划概述了十项投资流,以迅速推进经过严格审查的解决方案,在全球范围内立即改善OSS的安全性。在整个2022年,OpenSSF社区已经就动员计划采取了行动,并将在2023年及以后继续这样做。
  • 政策。 2022年5月,OpenSSF总经理Brian Behlendorf 证实的 向美国众议院科学、空间和技术委员会介绍了在OpenSSF和更广泛的OSS社区内为提高开源软件的安全性和可信度所做的工作。2022年6月,Linux基金会的执行董事Jim Zemlin。 参加了 在白宫网络劳动力和教育峰会上,他与政府和私营部门的领导人一起讨论了如何发展有利于开放源码软件生态系统的网络安全教育方法。2022年12月,开源供应链安全总监David A. Wheeler是 小组成员 在欧盟委员会组织的关于可信和安全的开放源码软件的研讨会上。
  • 召开OpenSSF日。 我们举办了OpenSSF日活动 奥斯汀, 都柏林,以及 横滨 在北美、欧洲和日本的开源峰会上,以及在深圳举行的单独的OpenSSF中国峰会上。这些会议将全球开源社区聚集在一起,讨论在确保开放源码软件供应链安全方面所面临的挑战、大的解决方案、正在进行的工作和成功经验。
  • MFA的安全工作。 OpenSSF技术咨询委员会 公开支持各种努力,以增加MFA的使用。 在各个组织中。最佳实践工作组(WG)协调在2021-2022年向100个最关键的开源项目的开发者分发数百个免费MFA代币的代码,即所谓的"伟大的MFA分布."

对于更多的亮点和成就。 阅读我们的年度报告!

展望未来

展望2023年,我们可以利用你的帮助。现在,你们中的许多人已经开始使用OpenSSF的工作,请作为贡献者加入到与你最相关的项目中。让我们一起努力,在开源工具、流程和最佳实践方面做出可衡量的改进,从而提高所有软件的安全性。我们希望你或你的组织能够参与到OpenSSF中来,无论是通过提供反馈、参与我们的工作小组,还是帮助其他倡议。要加入我们,请查看以下的一些方式 参与进来.

这篇文章代表作者的观点,不一定反映所有OpenSSF成员的观点。