OpenSSF Day North America的议程现在已经上线!我们将于5月10日在加拿大温哥华举行的北美开源峰会期间举办一整天有趣的会议演讲、小组讨论和闪电会谈。计划加入我们,讨论正在进行的开源软件供应链安全的最新和最伟大的努力。
阅读更多
在软件开发中,安全问题曾经是一个事后的想法。安全是笨重或不方便的,往往是因为它是一个 "螺栓"。在过去的两年里,这种情况已经迅速改变。现在,世界终于意识到,安全需要被 "烘烤",而不是 "栓上"。如果这项工作由非盈利基金会指导,并由多个公共和私人机构持续提供资金支持,那么开放源码软件的安全工程和开发就可以实现有意义的、有影响的改进,跨越生态系统。
SBOM Everywhere是OpenSSF的安全工具工作组中的一个特殊兴趣小组(SIG)。9月,我们资助了SPDX Python库的工作,现在我们很高兴地报告最近发布的Python SPDX-Tools包的0.7.0版本,它可以在GitHub和PyPI上下载。请继续阅读关于SBOM Everywhere、SPDX-Tools的更多细节,以及这对更广泛的开源社区意味着什么。
感谢所有参加我们最近于3月16日举行的市政厅会议的人,我们在会上介绍了OpenSSF的最新举措,分享了关于OpenSSF各种举措的介绍,与会者有机会向小组成员提出问题。如果你不能参加,这里有一些会议的亮点和你可以找到更多的信息。
记分卡正在成为IBM对我们产品和服务中的开源软件进行审查和策划的一个关键部分。IBM致力于帮助解决现代软件供应链中的系统性安全问题,并认为这项工作的一个重要部分是帮助开源生态系统提高操作系统项目的整体安全性。
即使是关于软件供应链安全的基本问题,回答起来也是出乎意料的困难。例如,与软件供应链安全相关的不同实践有多普遍?软件专业人员认为这些做法是有用还是无用?容易还是困难?为了帮助回答这些问题和相关问题,Chainguard、Eclipse基金会、Rust基金会和开源安全基金会(OpenSSF)合作进行了一次软件供应链安全调查。
软件产品的供应链级别(SLSA,发音为 "salsa")是一个OpenSSF项目,它为软件供应链安全提供了规范,是由行业共识建立的。SLSA的框架被组织成一系列的级别,描述了越来越严格的安全。SLSA规范的0.1版本已经发布了一段时间。我们一直在稳定地公开进行SLSA的更新工作,以便为 "1.0版 "做好准备。现在,我们有了1.0版本的草案,我们正在寻求你的最终反馈。
大西洋理事会网络技术倡议的一份新报告有助于阐明 "作为基础设施的开放源码 "的真正含义,以及它为什么重要。避免成功的陷阱:将开源软件作为基础设施的政策。
开源安全基金会(OpenSSF)欢迎八位来自领先技术公司的新成员。目前,OpenSSF成员总数超过100个,组织成员在2022年出现了88%的增长,来自不同的部门。新的OpenSSF一般成员承诺包括来自Amesto Fortytwo、Code Intelligence、Kusari、Privado、Scotiabank、Technology Innovation Institute(TII)。新的准会员包括开源商业联盟 - Bundesverband für digitale Souveränität e.V.和Python软件基金会。我们很高兴地看到,技术社区继续表现出对现在和未来的安全投资的坚定承诺。
可以说,软件材料清单(SBOM)的广泛使用取决于SBOM的质量--SBOM包含足够和准确的信息,以使目标用户实现其目标。但是,直到最近,还很难衡量SBOM的质量。新的SBOM质量工具、新的SBOM数据集和新的SBOM质量研究改变了这种状况。这些新的工具、数据集和研究结果对SBOM质量的现状有什么启示?以及如何才能做出高质量的SBOM?
