跳到主要内容

开源安全基金会筹集$1000万美元,用于保护软件供应链的新承诺

通过 10月 13, 2021#!31周五, 22 10月 2021 14:31:33 -0700p3331#31周五, 22 10月 2021 14:31:33 -0700p-2America/Los_Angeles3131America/Los_Angelesx31 22下午31下午-31周五, 22 10月 2021 14:31:33 -0700p2America/Los_Angeles3131America/Los_Angelesx312021周五, 22 10月 2021 14:31:33 -07003123110下午星期五=136#!31周五, 22 10月 2021 14:31:33 -0700pAmerica/Los_Angeles10#10月 22nd, 2021#!31周五, 22 10月 2021 14:31:33 -0700p3331#/31周五, 22 10月 2021 14:31:33 -0700p-2America/Los_Angeles3131America/Los_Angelesx31#!31周五, 22 10月 2021 14:31:33 -0700pAmerica/Los_Angeles10#新闻发布

来自技术、金融服务、电信和网络安全领域的行业领袖响应拜登的行政命令,承诺为软件提供更安全的未来;开源名人Brian Behlendorf成为总经理。

加利福尼亚州洛杉矶 - KubeCon - 2021年10月13日 --  Linux基金会非营利性组织通过开源实现大规模创新,今天宣布它已经筹集了$的新投资,以扩大和支持开源安全基金会(OpenSSF),这是一个跨行业的合作,将多个开源软件计划集中在一个伞下,以识别和修复开源软件的网络安全漏洞,并开发改进的工具,培训,研究,最佳实践和漏洞披露实践。开源名人Brian Behlendorf将作为总经理为OpenSSF社区服务。 

首席成员的财务承诺包括亚马逊、思科、戴尔科技、爱立信、Facebook、Fidelity、GitHub、谷歌、IBM、英特尔、摩根大通、微软、摩根斯坦利、甲骨文、红帽、Snyk和VMware。其他承诺来自一般成员Aiven、Anchore、Apiiro、AuriStor、Codethink、Cybertrust Japan、Deepfence、Devgistics、DTCC、GitLab、Goldman Sachs、JFrog、Nutanix、StackHawk、腾讯、TideLift和风河。

"这个泛行业的承诺是为了响应白宫的号召,提高我们集体网络安全的底线,同时也是对开源社区的'回报',帮助他们创造安全的软件,让我们都从中受益,"Linux基金会的执行董事Jim Zemlin说。"我们很高兴Brian Behlendorf在建设和维持大型社区和技术项目方面的领导力和广泛的专业知识被应用于这项工作。随着开源软件的巨大增长和普及,建立具有规模的网络安全实践和项目是我们当前最大的任务。"

根据行业报告("2021年的软件供应链状况",由Sonatype撰写),软件供应链的攻击增加了650%,并对商业运作产生了严重影响。在越来越多的安全漏洞、勒索软件攻击和其他与开源软件有关的网络犯罪发生后,世界各地的政府领导人都在呼吁私人和公共合作。因为开源软件至少占了所有软件的70%(Synopsys的 "2020年开源安全和风险分析报告"),OpenSSF提供了一个自然、中立和泛行业的论坛,以加速软件供应链的安全。 

"开源安全基金会总经理Brian Behlendorf说:"在开源社区工作从来没有像现在这样令人兴奋,软件供应链安全从来没有像现在这样需要我们关注。"确保软件供应链的安全,没有单一的银弹。 研究、培训、最佳实践、工具和协作需要我们整个社区成千上万的关键人物的集体力量。对OpenSSF的资助为我们提供了进行这项工作的论坛和资源。"

OpenSSF是各种开源软件、开放标准和其他改善安全的开放内容工作的所在地。例子包括。

  • 安全记分卡 - 一个完全自动化的工具,可以评估一些与软件安全相关的重要启发式方法("检查")。
  • 最佳实践奖章 - 一套用于生产更高质量的安全软件的核心基础设施倡议最佳实践,为开放源码软件项目提供一种方式,通过徽章证明他们正在遵循这些最佳实践。
  • 安全政策 全明星 提供一套并强制执行存储库或组织的安全策略
  • 包装分析 - 在开放源码软件包中寻找恶意软件
  • 安全评论 - 公开收集开放源码软件的安全审查

关于OpenSSF的更多信息,请访问。 https://openssf.org/

首席会员报价

AWS

"开放源码软件在整个信息安全领域发挥着越来越重要的作用。召集行业领导者投资开发围绕开源安全的政策、实践、工具和教育,对我们所有人都有利。AWS是2014年核心基础设施倡议的创始成员,现在我们将通过加入OpenSSF成为首席成员,在关系和投资的基础上继续完成使命。AWS CISO办公室主任Mark Ryland说:"与我们在该倡议中的合作伙伴一起,并作为许多开源社区的积极参与者,我们将帮助提高开源软件的安全标准。

思科

"OpenSSF将使各行业的社区能够建立工具和实践,以确保开源和其他软件供应链的安全。这对API和应用安全的未来至关重要,因为它们正迅速成为所有企业未来的主要攻击媒介,"思科新兴技术和孵化部副部长Vijoy Pandey说。"在思科,我们相信应用体验是新的品牌,它要求更好的应用速度、信任、安全和可用性。这种信念促使我们在应用安全和全栈可观察性方面进行深入投资,这就是为什么与这个著名的基金会和团体联手,成为值得信赖的顾问和合作伙伴,对我们来说是不难理解的。"

戴尔科技 

"戴尔技术公司全球首席技术官John Roese说:"Linux基金会对安全的关注是解决与软件相关的日益增长的风险的根本。"开源安全基金会的工作将帮助我们共同确保关键软件程序和端到端的软件交付管道是安全和值得信赖的。"

爱立信

"作为移动通信领域的领导者,在全球范围内开创并推动5G的发展,安全是我们构建并提供给客户的网络基础设施的核心。在一个日益围绕开源和开放标准化的行业中,我们完全致力于通过合作努力解决网络安全漏洞。爱立信高级副总裁兼首席技术官Erik Ekudden说:"我们很自豪能加入开源安全基金会成为创始成员,我们期待着继续与社区和更广泛的行业合作,以实现安全的软件供应链,包括开源组件。

忠诚度

"开源软件在富达公司的技术战略中发挥着关键作用。富达应用架构高级副总裁John Andrukonis说:"我们很自豪能成为开源安全基金会的一员,并与其他人合作,确保开源解决方案及其供应链安全、可靠,使富达能更好地服务于我们的客户和顾客。

GitHub

"GitHub的首席安全官Mike Hanley说:"世界是靠软件运行的,而大多数软件都包括并依赖于开源。"作为全球6500多万开发者的家园,我们很高兴能继续与整个开源社区和其他开源安全基金会成员合作,为一个更安全、更值得信赖的未来提供动力,这将使所有人受益。

谷歌

"谷歌基础设施和研究员副总裁Eric Brewer说:"在开源软件供应链攻击不断增加和拜登总统的行政命令之后,我们正在加倍努力履行我们的OpenSSF承诺。"这个决定是我们在白宫承诺的花费$1亿来资助开源安全基金会的一部分,并且是在我们为支持公共和私营部门的开发者和安全工程师而进行的各种投资之后做出的。OpenSSF是跨行业领导这些非常具有挑战性的主题的最佳场所,我们期待着与美国和其他政府合作,以改善全世界的安全。" 

IBM 

"IBM深度关注开发和构建高度安全的混合云、人工智能和量子安全技术,这些技术旨在保护我们客户当前和未来最敏感的工作负载,"IBM战略与发展部总经理兼IBM企业安全执行官Jamie Thomas说。"作为一个长期的开源领导者,IBM期待着与OSSF、我们的行业合作伙伴和开源社区合作,争取解决硬件和软件开源供应链安全方面不断增加的挑战。"

英特尔

"作为开源软件社区的长期成员,英特尔在我们合作的上游项目中每天都有贡献,"英特尔公司高级副总裁、首席技术官兼软件和先进技术部总经理Greg Lavender说。"与Linux基金会一起,我们相信开放安全基金会(OpenSSF)是一个独特的机会,可以参与到专注于为今天和我们的未来提高质量和安全性的项目和努力中。英特尔仍然致力于提供有利于开源软件供应链的贡献,并改善我们的生态系统所依赖的关键项目的安全态势。"

摩根大通

"摩根大通坚定地致力于与开源社区合作,解决我们最紧迫的安全挑战。作为开源安全基金会的创始成员之一,我们共同致力于提高开源的安全性和所有软件的完整性。我们赞扬美国政府最近提出的倡议,以提高对这一紧迫话题的认识,并呼吁技术界采取行动,解决我们这个时代最复杂的安全挑战之一。 摩根大通公司首席信息安全官Pat Opet说:"我们欢迎新成员加入OpenSSF,并期待着继续创新之旅,为我们如何构建、保护和验证软件带来有意义的变化。

微软

"由于开源现在几乎是每个公司技术战略的核心,确保开源软件的安全是确保每个公司,包括我们自己的供应链的一个重要部分。我们所有的微软人都很高兴与其他人一起参与,为开源安全基金会贡献新的投资,我们期待着通过社区驱动的努力来建立更安全的软件,以创造有助于我们所有人的解决方案,"微软Azure首席技术官兼技术研究员Mark Russinovich说。

摩根士丹利

"无论我们是在自己的代码中利用开放源码,还是为开放源码项目做出贡献,或者通过我们采购和利用的技术消费开放源码,开放源码的安全和安保以及创建一个值得信赖的供应链对所有企业都至关重要。为此,我们很高兴加入Linux基金会的开源安全基金会项目,与我们的跨行业合作伙伴合作,提高开源软件生态系统的安全性、安全性和信任度,"摩根士丹利网络安全工程全球负责人Neil Allen说。

甲骨文

"作为开源软件社区的贡献者和Linux基金会的创始成员,甲骨文公司有大量的开发人员每天为第三方开源项目做出贡献,"甲骨文公司软件开发高级副总裁Wim Coekaerts说。"甲骨文公司期待着参与开源安全基金会,并与其他成员合作,继续加强软件供应链,帮助客户更安全地工作。"   

红帽

"开源在各类软件解决方案中无处不在,而网络安全攻击率正在上升。我们的客户期待红帽在我们基于开源的产品组合中提供信任和增强的安全性。开源和社区合作是解决大型、全行业挑战的最佳方式,例如开源供应链安全。这就是为什么我们很高兴与Linux基金会和其他行业领导者一起,以便我们能够继续改进技术和实践,从开源软件中建立一个更安全的未来,"红帽公司高级副总裁兼首席技术官Chris Wright说。

スニック

Snyk公司创始人兼总裁Guy Podjarny说:"开源是由数百万被授权的开发者建立的,他们也需要确保数字世界的这一关键基础,"。"Linux基金会和OpenSSF的重要工作确保我们共同履行这一责任。Snyk社区完全致力于这一重要的合作努力,我们期待着与其他OpenSSF成员密切合作,以更好地保护开放源码软件,使其能够继续安全地推动创新。"

淘宝网

"VMware首席技术官Kit Colbert说:"每个使用软件的公司都应该关注他们的软件供应链。"两年多来,VMware在更广泛的软件供应链安全领域参与了开源项目的贡献,并投资于帮助客户进一步加强其安全政策和流程的倡议。作为开源安全基金会的成员,我们致力于与整个行业合作,推动提高软件供应链的安全水平。"

普通会员报价 

阿皮罗

"Apiiro业务发展副总裁John Leon评论说:"软件供应链风险正变得无处不在,有可能减缓应用程序的交付并阻碍创新。"管理应用风险已经变得越来越复杂,需要整个SDLC的可视性--包括供应链。Apiiro很高兴能与开源社区合作,并支持Linux基金会和OpenSSF,因为他们的合作对确保软件安全至关重要。"

奥瑞斯特

"AuriStor的创始人在超过35年的时间里为安全协议的标准化和安全第一软件的开源开发做出了贡献。我们认为OpenSSF、其工作组和项目以及参与其中的人对于改善每个行业、服务和家庭的安全至关重要。OpenSSF有可能对每个人的未来产生重大影响。我们鼓励软件开发社区的所有成员作出贡献。",AuriStor创始人兼首席执行官Jeffrey Altman说。

发展统计学

"我们抓住了加入这个基金会的机会,因为OpenSSF提供了一个真正的行业中立论坛来加速软件供应链的加固和安全。Devgistics(前身为InfoSiftr)为世界上最受欢迎的开源资源库提供了关键的增强功能。Devgistics多年来一直参与许多自由和开源计划,包括作为Moby(Docker引擎)的维护者,为Docker/容器生态系统提供支持,并在开放容器倡议中服务。Devgistics继续为像美国空军这样注重安全的客户贡献尖端的解决方案,"Devgistics创始人兼总裁Justin Steele说。 

DTCC

"DTCC致力于开发高度弹性和安全的代码,以保障金融市场的安全。戴德梁行很荣幸能成为OpenSSF社区的一员,并期待与我们的同伴在安全、可靠的计算方面进行合作,"戴德梁行的技术/网络风险主管Ajoy Kumar说。

淘宝网

"GitLab首席技术官Eric Johnson说:"随着企业实现软件开发的现代化并将安全转移到左边,GitLab相信,开源将在促进这种现代化和向市场快速提供安全软件方面发挥关键作用。"支持开源安全基金会与GitLab的使命一致,即让每个人都能做出贡献,我们期待着支持、合作,并向OpenSSF社区分享我们在GitLab的DevOps平台中实施安全的专业知识。"

高盛集团

"高盛集团首席技术官Atte Lahtiranta说:"继续确保软件供应链的安全,特别是对任何现代组织的IT架构来说,许多关键的开源项目都是最重要的战略要务,我们在金融服务、技术生态系统和更广泛的经济领域的同行、合作伙伴和客户。"这项工作不能在个别组织的孤岛上完成。相反,我们需要在私营和公共部门之间协同工作,与开源维护者和贡献者一起,响应最近网络安全行政命令的行动号召。OpenSSF将提供一个重要的论坛和相关的基础设施,使我们能够分享领先的实践,开发改进的工具,并共同努力,更好地保护我们的数字基础设施。

JFrog

"JFrog Security首席技术官Asaf Karas说:"开源软件是当今数十万个应用程序的骨干,因此,我们必须尽最大努力快速标记新的漏洞和不安全的组件,以免它们危及企业或关键基础设施。"我们很高兴扩大我们与Linux基金会的成员关系,并支持这种跨行业的合作,以确定和修复开源安全漏洞,加强工具,并促进最佳实践,以确保开发人员可以轻松地左移,并从应用程序的规划和设计开始,一直到软件的部署,分发和运行时间的安全。"

努塔尼克斯(Nutanix)公司

"世界在开源软件上运行,Nutanix渴望帮助确保其安全性。这只有通过广泛的行业合作才能实现。我们相信开源安全基金会的创始愿景。我们希望通过这种合作关系,帮助增强开源开发者的能力,更好地保护我们所有的客户。Nutanix首席技术官Rajiv Mirani表示:"作为开源软件基金会的成员,我们与其他行业领导者一起加强我们共同依赖的软件供应链安全。

堆栈鹰(StackHawk

"软件开发的速度比以往任何时候都快。该行业需要工具和流程来确保安全能够跟上当今的发展步伐。StackHawk对开源安全基金会为提高安全性所做的工作感到非常兴奋,我们很荣幸能继续成为其成员,"StackHawk创始人兼CEO Joni Klippert说。

腾讯公司

"IT发展到今天,越来越多的关键业务和核心竞争力都建立在开源的基础上,而且这种趋势还将继续。作为软件供应链的重要组成部分,开源安全在整个软件供应链中发挥着重要作用。腾讯云一直热衷于为开源项目贡献代码和技术,也在安全方面保持着持续的巨大投入。腾讯云首席安全官KK Dong表示:"非常高兴看到OpenSSF能够成立,我们期待与行业伙伴紧密合作,提高开源软件的安全水平,加强软件供应链安全。

风河

"随着对开源软件的依赖变得越来越普遍,开源安全基金会以社区为导向,开发和分享安全指标、工具和最佳实践的方法变得势在必行。风河公司首席技术官Paul Miller说:"我们的客户对他们的解决方案所使用的开源软件的健康状况非常感兴趣,而确保整个开放供应链的安全开发是至关重要的。"我们期待着与OpenSSF社区进行更紧密的合作。通过合作,风河可以为客户提供一定程度的开源安全保证,否则将无法实现。"

关于Linux基金会

Linux基金会成立于2000年,由1800多个成员支持,是世界上领先的开源软件、开放标准、开放数据和开放硬件的合作之家。Linux基金会的项目对世界的基础设施至关重要,包括Linux、Kubernetes、Node.js、Hyperledger、RISC-V等等。 Linux基金会的方法专注于利用最佳实践,解决贡献者、用户和解决方案提供者的需求,以创造可持续的开放合作模式。欲了解更多信息,请访问我们的网站 https://www.linuxfoundation.org/

###

Linux基金会拥有注册商标和使用商标。关于Linux基金会的商标列表,请参见其商标使用页面。 www.linuxfoundation.org/trademark-usage.Linux是Linus Torvalds的注册商标。

媒体联系方式

珍妮弗-克洛尔

503-867-2304

jennifer@storychangesculture.com

这篇文章代表作者的观点,不一定反映所有OpenSSF成员的观点。