开放源代码软件安全动员计划

在2022年5月12日至13日在华盛顿特区举行的开源软件安全峰会II期间,Linux基金会和OpenSSF召集了开源开发者和商业生态系统的跨部门代表以及美国主要联邦机构的领导和专家,就以下问题达成了共识 高影响的行动 采取的措施,以改善 复原力和安全性 的开放源码软件。

他们同意的计划重点是 10个投资流。 伴随着具体的行动步骤,既可以立即改进,又可以为更安全的未来打下坚实的基础。

READ THE REPORT

开源安全的10个投资流

安全教育
向所有人提供基线安全的软件开发教育和认证。
风险评估
为前10,000个(或更多)OSS组件建立一个公共的、供应商中立的、客观的、基于度量的风险评估仪表板。
数字签名
加快对软件发布的数字签名的采用。
记忆安全
通过替换非记忆安全的语言来消除许多漏洞的根源。
事故应对
建立一个由安全专家组成的OpenSSF事件响应小组,协助开源项目加快对新发现的漏洞的响应。
更好的扫描
通过先进的安全工具和专家指导,加速维护者和专家对新漏洞的发现。
代码审计
每年对多达200个最关键的OSS组件进行一次第三方代码审查(以及任何必要的补救工作)。
数据共享
协调全行业的数据共享,以改善研究,帮助确定最关键的开放源码软件组件。
到处都是SBOMs
改进SBOM工具和培训,以推动采用。
改善软件供应链
用更好的供应链安全工具和最佳实践来增强10个最关键的开放源码软件构建系统、软件包管理器和分发系统。

下载峰会II计划以了解更多。

READ THE REPORT

与我们取得联系。

欲了解更多关于开源软件安全动员计划的信息,以及如何参与OpenSSF,请填写此表,以便OpenSSF代表与您联系。