我们很高兴地宣布2023年技术咨询委员会(TAC)和安全社区个人代表(SCIR)在OpenSSF管理委员会的组成。2023年的TAC包括当选成员:微软的Aeva Black、谷歌的Bob Callaway、Chainguard的Dan Lorenc、谷歌的Dustin Ingram和任命成员:指定成员:IBM的Arnaud Le Hors、英特尔公司的Christopher "CRob"Robinson,以及GitHub的Zach Steindler。我们在管理委员会的新安全社区个人代表(SCIR)是开源安全黑客Luke Hinds。
开放源代码安全基金会(OpenSSF)很荣幸地宣布,软件产品供应链等级(SLSA)的1.0版本已经发布。SLSA是OpenSSF的一个项目,为软件供应链安全提供规范,由社区专家共识建立。SLSA 1.0版本的稳定发布降低了改进的门槛,帮助你把精力集中在改进你的构建上,并减少了在整个供应链中被篡改的机会。
在管理软件供应链方面,SBOM的使用正变得越来越重要。主要的消费用例是通过将SBOM中列出的依赖关系映射到CVE,来评估依赖关系的已知漏洞风险。 在这篇博文中,我们建议将SBOMs与OpenSSF Scorecard一起使用,以评估产品的风险。
加入我们与OpenSSF董事会成员Brian Fox的对话。在这个系列中,我们将关注那些在制定开源软件供应链安全方针方面发挥关键领导作用的人。
我们讨论创建SBOMs已经有十多年了,但它是否让我们更接近硬化我们的软件开发实践?SBOMs提供了关键的供应链数据,但我们根本没有利用这些数据来推动我们的供应链决策。仅仅要求生成SBOM并不是答案。前进的道路是什么?
最佳实践工作组的目标是为开源开发者提供围绕开发和安全的最佳实践建议。这个工作组专注于为开发者提供指导和工具,以便于学习和应用,从一开始就是OpenSSF的一部分。了解更多关于我们工作组的目的和活动,我们在过去几个月的工作内容,以及你如何参与我们的倡议。
每个软件库都面临着保护开源软件生产者和消费者的挑战性任务。他们必须抵御各种威胁,在复杂的选项菜单中游刃有余地强化他们的系统和程序,以应对攻击者。OpenSSF安全软件库工作组(SSR WG)去年对11个主要软件库的维护者进行了调查,以了解他们目前的安全态势和未来的发展方向。这项调查的结果现在已经出来了。
Linux基金会项目的主要活动是就技术挑战进行公开合作,为开发者、公司、行业和整个社会带来切实的改进。我们一直以来的重点是将开放源代码作为真正伟大成果的起点,以改善我们--以及世界--每天依赖的技术。今天,我们已经澄清了用户向Sigstore社区托管的实例提交数据时适用的条款。我们希望与你分享一些变化,以帮助社区更好地理解我们所做的工作。
