跳到主要内容

技术和企业领袖合力改善开源安全

通过 8月 3, 2020#!30周一, 20 9月 2021 06:06:33 -0700p3330#30周一, 20 9月 2021 06:06:33 -0700p-6America/Los_Angeles3030America/Los_Angelesx30 20上午30上午-30周一, 20 9月 2021 06。06:33 -0700p6America/Los_Angeles3030America/Los_Angelesx302021周一, 20 9月 2021 06:06:33 -0700066069上午星期一=95#!30周一, 20 9月 2021 06:06:33 -0700pAmerica/Los_Angeles9#9月20日, 2021#!30周一, 20 9月 2021 06:06:33 -0700p3330#/30周一, 20 9月 2021 06:06:33 -0700p-6America/Los_Angeles3030America/Los_Angelesx30#!30周一, 20 9月 2021 06:06:33 -0700pAmerica/Los_Angeles9#新闻发布

被称为开源安全基金会(OpenSSF)的新合作整合了业界的努力,以提高开源软件的安全性

加州旧金山,2020年8月3日 - Linux基金会今天宣布成立开源安全基金会(OpenSSF)。OpenSSF是一个跨行业的合作,它将领导者聚集在一起,通过有针对性的举措和最佳实践建立一个更广泛的社区,来提高开源软件(OSS)的安全性。它结合了核心基础设施倡议、GitHub的开源安全联盟以及创始理事会成员GitHub、谷歌、IBM、摩根大通、微软、NCC集团、OWASP基金会和红帽等的其他开源安全工作。其他创始成员包括ElevenPaths, GitLab, HackerOne, Intel, Okta, Purdue, SAFECode, StackHawk, Trail of Bits, Uber 和 VMware。

开源软件已经在数据中心、消费者设备和服务中无处不在,代表了它在技术专家和企业中的价值。由于其开发过程,最终到达最终用户的开源软件有一个贡献者和依赖性的链条。重要的是,那些负责其用户或组织安全的人能够理解并验证这个依赖链的安全性。

OpenSSF汇集了业界最重要的开源安全倡议以及支持这些倡议的个人和公司。为应对2014年Heartbleed漏洞而成立的Linux基金会的核心基础设施倡议(CII),以及由GitHub安全实验室成立的开源安全联盟,只是将在新的OpenSSF下汇集的几个项目。基金会的管理、技术社区及其决定将是透明的,所开发的任何规范和项目都是与供应商无关的。OpenSSF致力于合作,并与上游和现有社区合作,为所有人推进开源安全。

"我们相信开源是一种公共利益,在每个行业中,我们都有责任一起改善和支持我们都依赖的开源软件的安全性,"Linux基金会执行董事Jim Zemlin说。"确保开源安全是我们能做的最重要的事情之一,它需要我们全世界的人都来协助这项工作。OpenSSF将为真正的合作、跨行业的努力提供这一论坛。"

随着小组的正式成立,公开的治理结构也随之建立,其中包括一个理事会(GB)、一个委员会和一个委员会。 技术咨询委员会 (TAC),并对每个工作组和项目进行单独监督。OpenSSF打算举办各种 开放源码技术倡议 以支持世界上最关键的开源软件的安全,所有这些都将在开放的平台上完成。 GitHub。

欲了解更多信息,并为该项目做出贡献,请访问 https://openssf.org

资源

开放源码生态系统的威胁、风险和缓解措施, 开源安全联盟
核心中的漏洞, 哈佛大学创新科学实验室和Linux基金会
红帽产品安全风险报告, 红帽

管理委员会成员引言

GitHub
"每个行业都在使用开源软件,帮助维护一个健康和安全的生态系统是我们的集体责任,"GitHub安全部产品管理副总裁Jamie Cool说。"GitHub在2019年成立了开源安全联盟,围绕这一使命将行业领导者聚集在一起,并确保开源软件的消费是所有开发人员都可以放心的。我们期待着联盟发展的下一步,并作为开源安全基金会的创始成员。"

阅读更多 GitHub的博客。

谷歌
"对于谷歌和我们的用户来说,安全问题始终是重中之重。我们已经开发了强大的内部安全工具和系统,用于内部消费开源软件,为我们的用户和基于OSS的产品服务。我们相信为每个人建立更安全的产品,并产生深远的影响,我们很高兴能通过OpenSSF与更广泛的社区合作。我们期待着分享我们的创新,并共同提高我们所依赖的开源软件的安全性,"谷歌云的产品安全总监James Higgins说。

IBM
"开源已经成为企业的主流。因此,开源供应链的安全对IBM和我们的客户来说是最重要的,"IBM研究员兼开放技术首席技术官Christopher Ferris说。"开源安全基金会的启动标志着向开源社区提供他们所需的信息和工具,以改善他们的安全工程实践,以及开发人员明智地选择他们的开源所需的信息迈出了重要的一步。"

摩根大通
"开发、发展和使用开源软件是摩根大通的首要任务。我们致力于通过开源安全基金会与社区合作,确保每个人对开源软件的信任和安全,"摩根大通全球首席信息官Lori Beer说。

微软
"微软Azure首席技术官Mark Russinovich说:"由于开源现在几乎是每个公司技术战略的核心,确保开源软件的安全是确保每个公司(包括我们自己的公司)供应链安全的一个重要部分。"与所有的开源软件一样,建立更好的安全是一个社区驱动的过程。我们所有微软人都很高兴成为开源安全基金会的创始成员,我们期待着与社区合作,创造新的安全解决方案,帮助我们所有人。"

阅读更多 微软的博客。

NCC集团
"互联网的安全和隐私对于保护个人、组织和关键基础设施至关重要,也是民主和我们公民自由的未来。鉴于开源在推动我们的世界方面所发挥的根本作用,创建可扩展的资源和工具来帮助软件维护者、开发者和用户了解和改善他们项目的安全性是朝着一个更安全和更有保障的世界迈出的重要一步。全球网络安全专家NCC集团的研究主管Jennifer Fernick说:"通过将一群具有改善开源软件安全的共同愿望的技术专家聚集在一起,我们可以开始以以前不可能的规模补救--甚至预防--安全漏洞。

OWASP
"加入Linux基金会和开源安全基金会是我们推动应用安全状况的核心任务,特别是OpenSSF已经与OWASP的开放、透明和创新的核心理念相一致,"开放网络应用安全项目OWASP的执行主任Andrew van der Stock说。"我们期待着与所有参与组织合作,改善软件安全状况,并在对世界各地的软件开发人员、组织和政府具有重要意义的项目上共同合作。"

红帽
"红帽公司坚持不懈地致力于开源和参与,以使上游项目取得成功。我们相信安全是健康的项目社区的重要组成部分,"红帽公司首席技术官Chris Wright说。"现在,我们比以往任何时候都更应该与其他领导者联合起来,帮助确保关键项目在我们的产品中、在整个企业中以及作为混合云的一部分是安全和可消费的。我们很高兴能帮助成立这个开源软件基金会。"

其他创始成员语录

十一道工序
"企业应用或服务的安全性主要取决于其所有组件的安全性。绝大多数商业应用和服务都不是完全由内部开发的,因为它们利用了有助于加快开发周期和扩展其功能的开源组件。因此,必须确保所有开源组件符合安全开发的最佳实践,并进行定期审查,对所有利用这些组件的软件产生积极的影响。加入开源安全基金会与我们的愿景和原则是完全一致的"。

淘宝网
"GitLab很高兴能在开源安全基金会(OpenSSF)的创建中发挥作用,以进一步推动跨行业合作,并推动开源项目的安全发展,因为这是技术未来的关键,"GitLab安全与防御产品总监David DeSanto说。"与GitLab的'每个人都能做出贡献'的使命相一致,我们期待着支持和促进社区的发展,使具有安全意识的开发者聚集在一起,以协作和根本的方式改变开源开发。"

黑客一号
"开源软件为HackerOne提供动力,"HackerOne的开源安全主管Reed Loden说。"它为我们的软件、我们的基础设施以及我们与社区接触的模式提供动力。作为我们使互联网更安全的使命的一部分,我们希望使开源项目更容易保持安全。三年多来,我们为开源社区免费提供了我们的平台,而且我们一直是互联网漏洞赏金等倡议的长期支持者。加入Linux基金会和开源安全基金会使我们能够继续履行我们的使命,并与一些最重要的安全愿景者一起使互联网更加安全。我们期待着看到我们能够共同做出的改变"。

英特尔
"这需要业界共同努力,推动技术发展,加速开源安全计划。硬件和软件是密不可分的,以提供开源软件的安全性、透明度和信任。英特尔系统安全软件总经理Anand Pashupathy说:"与OpenSSF一起,英特尔将继续在动员整个行业和解决从云到边缘的安全挑战方面发挥关键作用。

SAFECode
"开源软件是当今软件供应链中的一个主要组成部分,因此在个人和组织所依赖的软件中占了很大一部分。支持开源软件的安全开发对SAFECode成员和软件社区至关重要,"SAFECode的执行董事Steve Lipner说。"我们期待着在参与开源安全基金会的任务时,发挥我们的软件安全经验,建立一个跨行业的合作社区,支持开源软件的安全。

堆栈鹰(StackHawk
"开源的使用无疑已经达到了临界质量,依赖树和软件复杂性不断增加。让工程团队有能力简单和可扩展地交付安全的应用程序是我们StackHawk的核心使命。我们很高兴成为开源安全基金会的创始成员之一,以确保这在整个软件开发中能够成为现实,并期待着与社区继续合作,"StackHawk的创始人兼CEO Joni Klippert说。

淘宝网
"安全和隐私一直是Uber的首要任务,以确保我们是用户数据的负责任的管理者。我们一直专注于减轻所有类型的软件漏洞,因此,开源软件的安全是重中之重。安全工程部高级经理Rob Fletcher说:"在历史上,我们一直与其他行业领导者合作,帮助建立一个围绕开源软件的强大安全社区,我们很高兴能通过OpenSSF扩大这些努力。

淘宝网
"VMware开源技术中心安全技术负责人Joshua Lock说:"加强开源社区和广泛使用的开源项目中的安全态势、政策和流程就是在加强整个软件生态系统--对所有参与者而言。"VMware强烈支持使我们的软件生态系统更具弹性和更安全的目标"。

关于Linux基金会
Linux基金会成立于2000年,由1000多个成员支持,是世界上领先的开源软件、开放标准、开放数据和开放硬件的合作之家。Linux基金会的项目对世界的基础设施至关重要,包括Linux、Kubernetes、Node.js等。 Linux基金会的方法专注于利用最佳实践,解决贡献者、用户和解决方案提供者的需求,以创造可持续的开放合作模式。欲了解更多信息,请访问我们的网站 linuxfoundation.org.

###

Linux基金会拥有注册商标和使用商标。关于Linux基金会的商标列表,请看我们的商标使用页面。 https://www.linuxfoundation.org/trademark-usage.Linux是Linus Torvalds的注册商标。

媒体联系
珍妮弗-克洛尔
思考媒体
503-867-2304
jennifer@rethinkitmedia.com

这篇文章代表作者的观点,不一定反映所有OpenSSF成员的观点。