开放源码软件 (OSS) 社区日新月异,而开放源码软件的安全性也在同步快速发展。这就要求 OpenSSF 定期重新评估我们的工作重点和方法,以有意识地提高开放源码软件的安全性。 今天,开源安全基金会(OpenSSF)发布了更新后的《使命、愿景、价值观和战略》(Mission, Vision, Values and Strategy)。MVS理事会于 2023 年 11 月 9 日批准了基金会的《财务条例》。
MVS 是行业内许多人使用的一种技术,通过制定明确的目标来定义我们共同的 "为什么",从而帮助我们集中精力,凝聚力量。愿景中的北极星声明激励着我们的日常工作,我们计划采取可行的步骤来执行我们的战略。战略描绘了我们计划如何实现使命和愿景。
MVS 是横跨 OpenSSF 的指路明灯,代表着推动技术顾问委员会(TAC)工作的高层次范围。 技术展望.然后,技术咨询委员会为技术倡议 (TI) 提供关注和指导,技术倡议由工作组 (WG)、项目和特殊兴趣小组 (SIG) 组成。
您可以在 OpenSSF 关于页面 的网站。
OpenSSF MVS:深入探讨
让我们深入研究一下 MVS 的声明:
使命
开放源码安全基金会(OpenSSF)旨在使我们赖以生存的开放源码软件(OSS)的开发、维护和消费的可持续安全变得更加容易。这包括促进合作、建立最佳实践和开发创新解决方案。
开放源码是一项团队运动,我们每个人都有责任。通过工具、指南、规范和我们社区的集体贡献,我们的目标是帮助开源软件安全地创建、发布和使用,从而提高开源软件的安全质量。解决方案应具有可持续的影响,并随着开放源码软件未来的发展而不断更新。
愿景
开放源码软件是一种数字公共产品,作为一个行业,我们有义务与社区一起解决安全问题。我们展望未来,开放源码软件将被普遍信任、安全和可靠。这一合作愿景使全球生态系统中的个人和组织能够自信地利用其优势,并为开放源码软件社区做出有意义的贡献。
开放源代码让每个人都受益匪浅,而我们正在尽自己的一份力量,帮助以更安全的方式完成工作,从而更有能力应对未来的威胁、漏洞和薄弱环节。我们所看到的这一共同愿景描绘了一幅图景:在我们与开发者、消费者和其他利益相关者合作的基础上,如何看待和增强开源软件。
价值观
OpenSSF 是附属开源基金会和项目值得信赖的合作伙伴,并提供有价值的指导和工具,例如十大 安全软件开发指导原则OpenSSF 计划应使开源维护者和贡献者更容易获得安全性。OpenSSF 计划应使开放源码维护者和贡献者更容易获得安全性。开放源码软件的消费者可以利用 OpenSSF 的成果,获得清晰、一致和可信的信号,从而更好地了解开放源码软件内容的安全状况。
开放社会科学基金会致力于鼓励所有感兴趣的利益相关者参与基金会及其技术倡议(TI)。开放社会科学基金会被视为具有影响力的外部互利努力的倡导者和政策决策者的教育者。
OpenSSF 不仅仅倡导 "多样性、公平性和包容性"(DEI)团体,还致力于直接为所有观点、所有背景以及全球导师和教育的公平机会营造环境。OpenSSF 始终致力于不断发展这些努力,以带来更具包容性和多样性的软件安全教育,确保利益相关者共享参与 OpenSSF TI 的机会,并从 OpenSSF TI 中获得价值。
基金会的工作将向公众公开。
虽然这通常不是传统 MVS 文档的一部分,但我们的社区非常强烈地希望将我们的信念、支持和行动方式等价值声明纳入其中。我们相信,遵循安全开发指导原则,负责任地生产和使用软件,是为每个人推进安全的基础。我们在一个中立的环境中工作,所有的思想、观点和想法都受到同等重视,以共同保护和改善我们的生态系统。我们坚持认为,思想和背景的多样性是确保我们的社区取得最稳健、最积极成果的最佳途径。我们还承诺,为了公共利益,我们的每一项工作都是完全开放的,可供公众查看和使用。
战略
这些是开放源码社会基金计划采取的技术,以帮助我们完成上述使命,实现上述愿景。
OpenSSF 战略包括五个关键领域:
- 教育和有针对性的宣传:开发和推广最佳实践、指南和教育资源,以提高生态系统中的开源软件安全意识和专业知识。OpenSSF 向开放源码软件生态系统中的目标人物(包括维护者、贡献者和消费者)进行宣传,以改善他们的默认安全状态,并促进减少或消除实现该状态过程中的摩擦。
教育和利益相关者参与是向开放源码软件生态系统中的参与者和贡献者传递知识和功能的重要方式。确保 OpenSSF 技术倡议 (TI) 的成果以有意义的方式分享给开放源码软件开发者和消费者非常重要。这样做的目的是让更广泛的开放源码软件生态系统能够获得工具和信息,从而帮助开发人员开发出更安全的软件,并为利用这些组件的消费者提供下游信号。
- 促进合作:培养开放源码软件社区、安全专家和行业利益相关者之间的合作和包容文化,以透明的运营和管理方式持续有效地应对开放源码软件安全挑战。
确保开放源码软件的安全是一个协作过程。召集来自多个学科和背景的专家是 OpenSSF 的一项关键能力。利用来自各行业、最终用户、政府、学术界和研究人员的集体力量和参与,可以有效促进开放源码软件安全的发展。
- 可持续的技术创新和强化交付:支持现有安全功能的工具和流程改进。为开源生态系统提供新的安全功能,如漏洞检测、事件响应、安全编码实践和可操作的标准。
技术工作就在这里进行。个人和成员合作开发工具、项目和建议,任何个人或成员都很难独立完成这些工作。开放源码软件生态系统已开始从技术倡议的工作中受益,包括 Alpha-Omega 项目的 "将资金转化为安全"、Sigstore 的数字签名代码以及 Scorecard 的开放源码软件安全指标评估。此外,一些工作组(WGs)专注于对安全开放源码软件的具体支持,使开发者和消费者受益。所有 OpenSSF TI 必须以可持续运营和财务方式完成,以确保持续交付。可持续运营的一个例子包括参与者如何学习和了解如何开始参与现有的技术倡议,或将新的技术倡议引入 OpenSSF。支持开放源码软件安全的技术倡议的成熟和持续之路是在整个生态系统中创建和维护相关开放源码软件安全成果战略的重要组成部分。
- 宣传和政策:与政府、行业机构和其他相关组织合作,倡导促进开放源码软件安全的政策和做法。
开放源码软件的盛行造成了一系列安全问题,其中一个开放源码软件包可能会对整个软件供应链造成连锁反应。因此,开放源码软件在各行各业的快速应用已成为全球各国政府关注的一个重要话题,因为它们都希望确保开放源码软件的安全并保护本国公民的安全。OpenSSF 作为值得信赖的顾问、主题专家和开源生态系统安全的倡导者,参与了以政府为重点的论坛,以帮助教育和促进与政策制定者的合作。
- 社区参与:通过各种活动、会议、研讨会和在线平台,积极参与开放源码软件社区的活动,促进对话、合作和知识交流。
首先,开放源码软件始终与社区有关。社区参与有几种途径。其一是与我们所服务的开放源码软件开发者合作。OpenSSF 致力于继续在开发者社区中扩大对技术倡议(TI)成果的认识和采用。另一种是我们内部的个人和会员参与技术倡议。OpenSSF 一直在努力加强团队成员之间的合作与联系,他们每天都在为提高开放源码软件的安全性而努力。另一个社区参与途径是与开放源码软件生态系统中的同行基金会合作,这些基金会可以分享其生态系统中的安全挑战,OpenSSF 可以探索如何解决这些挑战,并在其社区中应用 TI 成果。另一个社区参与途径是开放源码软件的消费者,他们致力于在各自的安全工作流程和决策中提高开放源码软件的安全性。作为这些社区的成员和参与者,我们力求通过汇集最优秀的人才和想法,帮助建立和深化各个社区生态系统之间的联系,从而提高开放源码软件社区和生态系统的开放源码软件安全性。
我们欢迎大家审查 MVS,并在以下表格中提供反馈意见 懒惰您还会受到鼓舞,与我们所有充满热情和才华横溢的成员一起做出贡献!请积极参与、提供反馈并做出贡献。请记住,我们永远欢迎补丁!
