跳到主要内容

OpenSSF宣布15个新成员,进一步加强开源软件供应链安全

通过 5月 9, 2022#!31周一, 16 5月 2022 08:29:52 -0700p5231#31周一, 16 5月 2022 08:29:52 -0700p-8America/Los_Angeles3131America/Los_Angelesx31 16上午31周一, 16 5月 2022 08。29:52 -0700p-8America/Los_Angeles3131America/Los_Angelesx312022周一, 16 5月 2022 08:29:52 -0700298295上午星期一=95#!31周一, 16 5月 2022 08:29:52 -0700pAmerica/Los_Angeles5#5月 16, 2022#!周一, 16 5月 2022 08:29:52 -0700p5231#/31周一, 16 5月 2022 08:29:52 -0700p-8America/Los_Angeles3131America/Los_Angelesx31#!31周一, 16 5月 2022 08:29:52-0700pAmerica/Los_Angeles5#新闻发布

在OpenSSF日之前扩大了核心工作组

旧金山,2022年5月9日 -- ǞǞǞ 开放源代码安全基金会 (OpenSSF)是一个由Linux基金会主办的跨行业组织,汇集了世界上最重要的软件供应链安全倡议,今天宣布了15个来自领先的软件开发、网络安全、金融服务、通信和学术领域的新成员。

这一轮的承诺是由两个新的首要成员Atlassian和Sonatype领导的,他们将加入OpenSSF管理委员会。新的普通会员承诺来自Arnica、Bloomberg、Comcast、Cycode、F5、Futurewei Technologies、Legit Security、Sectrend、SUSE和Tenable。

"我们很高兴欢迎Atlassian和Sonatype这两家在现代软件开发和安全方面发挥关键作用的公司加入OpenSSF管理委员会。, Brian Behlendorf,OpenSSF的总经理。 "开源软件供应链攻击威胁着数十亿人赖以生存的创新基础。我们的15个新成员加入了一个由组织、开发人员、研究人员和安全专业人员组成的不断增长的社区,他们正在投入必要的时间和资源来应对这一不断变化的威胁环境。

开放源代码软件已经成为我们数字经济的基础。正如Linux基金会的2022年报告中指出的那样 软件材料清单(SBOM)和网络安全准备情况 报告显示,98%的组织定期使用开放源代码。同一项研究显示,72%的组织非常或极度关注软件安全问题。最近的漏洞,如影响Log4j的漏洞,使许多组织将软件供应链安全放在首位,并意识到需要充分了解开源生态系统,并为其做出贡献。从政府到企业,开源安全已经作为一个优先解决的问题被提上日程,因此,OpenSSF的会员数量正在快速上升。

在最新的承诺之前,OpenSSF经历了一个富有成效的时期,在这个时期,基金会扩大了其核心工作组,包括 确保软件库的安全.该小组旨在改善开发人员最常下载开源软件包的网络安全做法。 

此外,6月20日,该基金会将举办为期一整天的会议,在 开放的SSF日.由工作组负责人发表的演讲将包括诸如最佳实践徽章和其他良好做法、你的开源项目必须考虑的三件事和确保关键项目的安全等主题。当天的会议将以一个关于保障开源软件安全的未来的小组讨论结束。 注册 所有参加会议的人都可以免费参加。 开放源代码峰会 会议。

首席会员报价

阿特拉斯公司

"开源软件对于全球成千上万的开发团队所使用的许多工具和应用程序都是至关重要的。因此,在最近开放源码软件出现高调的漏洞之后,软件供应链的安全问题已经被提升到了大多数组织的首要位置。只有通过行业、政府和其他利益相关者的共同努力,我们才能确保开源创新在一个安全的环境中继续蓬勃发展。这就是为什么我们很高兴加入OpenSSF,在那里我们可以围绕当今软件供应链安全所面临的关键问题进行合作,以提高人们的认识并推动采取行动。作为首要成员,我们很高兴能成为推动有意义变革的关键贡献者,我们对通过与OpenSSF及其成员中志同道合的组织合作所能实现的目标感到乐观。" - 阿特拉斯公司首席信任官Adrian Ludwig

声波类型

"作为Maven Central中最大的开源组件库的维护者,我们对近年来对开源的需求有多大有独特的看法。然而,随着这种需求的增长,不良分子已经认识到了开源的力量,并试图利用这种力量来对付这个行业。随着这些软件供应链攻击变得越来越普遍,开源开发者已经成为这场战斗的前线。我们在Sonatype的主要任务是帮助人们了解他们的软件供应链,并利用开源所能提供的所有好处,而不存在任何风险。OpenSSF和它的成员有着类似的愿景。我很高兴作为董事会成员在OpenSSF中发挥更大的作用,并与其他成员共同合作,保持开源生态系统的安全和可靠,因为我们都在想办法与社区的新旧攻击作斗争。" - Brian Fox,Sonatype公司首席技术官和联合创始人

普通会员报价

山金车

"软件供应链的攻击载体一直让安全界措手不及。根据Arnica对2018年以来所有攻击的研究,我们发现两个一致的根源。一是对源代码的访问管理不当,二是无法检测开发者工具集的异常行为。解决这些差距的旅程是漫长的,我们正在努力逐一完善每个风险缓解策略,首先是为GitHub引入有史以来第一个自助式访问管理。" - Nir Valtman,Arnica联合创始人兼首席执行官

彭博社

"我们非常高兴能加入开源安全基金会(OpenSSF),该基金会的公益性、开放性和透明度,以及多样性、包容性和代表性的价值观与彭博社的价值观一致。作为一个 "开源第一 "的组织,我们非常重视开源及其在金融领域的使用,我们完全致力于帮助确保开源软件供应链的安全,我们已经通过我们的首席技术官办公室和工程组织之间的持续合作进行投资。" - Gavin McNay,彭博社CTO办公室的安全架构师

康卡斯特

"康卡斯特致力于开放源代码软件。我们用它来构建产品,吸引人才,并开发我们的技术来改善客户体验。当涉及到开源安全时,每个人都在发挥着作用。我们很高兴与全球开源社区一起加入OpenSSF,看看我们如何能够继续发展,使开源开发更加安全。" - 新拉-塞比,康卡斯特有线电视公司,开源项目办公室负责人

F5

"开源使用的增长放大了为所有人推进开放源码软件供应链安全的重要性,这只能作为行业中的一个共同优先事项来实现。在F5,我们致力于确保我们客户的应用程序在任何环境下都是快速、可用和安全的。这就是为什么我们重视开源安全基金会及其参与成员的工作,并期待着分享我们的领域专业知识,以帮助推进这项重要工作。" - 耿林,执行副总裁兼首席技术官,F5

未来之光技术公司

"OpenSSF是一个关于开源安全的首要和领先组织。Futurewei非常高兴能够加入OpenSSF,并参与关于开源安全和可持续发展这一重要议题的对话。我们期待着与OpenSSF进行令人兴奋的讨论和合作"。 - Chris Xie, 开源战略和业务发展部负责人 

合法安全

"Legit Security很高兴加入OpenSSF,以推进开源生态系统内软件供应链的安全,并为组织提供工具,以确保构成SDLC的基础设施--如管道和系统--的安全。据估计,对软件供应链的攻击每年会增加三到六倍,是一种全球性的威胁。我们期待着与OpenSSF合作,发布安全研究,为整个社区更安全的软件交付和消费贡献工具和代码"。 - 利亚夫-卡斯皮,Legit Security的首席技术官

纪元

"能够成为这个行业领先的开源安全基金会(OpenSSF)的一部分,我们感到非常兴奋。在这一倡议下,我们Sectrend与全球各行业的其他一流同行一起,旨在协助任何规模的组织解决开源软件的安全和许可合规风险。确保软件供应链的安全对每个公司都非常关键。在OpenSSF或Linux基金会的框架内,Sectrend将在工具、培训、研究、最佳实践和咨询方面为这个社区驱动的进程做出巨大贡献。超越安全,超越开源"。 - Alex Xue, CEO, Sectrend

SUSE

"根据经济学人影响调查的最新研究,95%的组织正在实践开放式创新,这表明开源软件对企业的基础设施和应用是多么关键。随之而来的是对软件安全的需求,这就是为什么SUSE对安全和合规性风险采取了积极的态度,利用工具实现全生命周期的安全,包括漏洞管理、CI/CD管线安全、运行时安全和政府安全认证。SUSE加入OpenSSF是为了进一步合作,以确保开源软件供应链的安全"。 - 布伦特-施罗德,SUSE首席技术官办公室主任

騰訊

"我们很自豪能够成为OpenSSF的一部分,并加入这么多了解确保开源软件及其相关供应链安全的关键重要性的业界同行。Log4j向世界展示了开放源码软件的使用是多么的普遍,以及如果没有适当的开发和控制来保护它,它是多么的脆弱。Tenable致力于提高攻击面的可见性,包括向安全软件开发转移,帮助企业了解整个系统的风险所在"。 Glen Pendley,首席技术官,Tenable

该基金会还宣布了新的准会员,包括日食基金会、中国信息通信研究院(CAICT)和中国科学院(ISCAS)。 

其他资源

  • 查看 OpenSSF成员的完整名单
  • 参加会议 6月20日Linux基金会开源峰会上的OpenSSF日 
  • 贡献努力 加入一个或多个活跃的OpenSSF工作小组
  • 阅读 OpenSSF和哈佛大学的Census II报告,阐明了在应用库层面最常用的FOSS包。

关于OpenSSF

由Linux基金会主办的OpenSSF(于2020年8月启动)是一个跨行业组织,汇集了业界最重要的开源安全倡议以及支持这些倡议的个人和公司。它结合了Linux基金会为应对2014年Heartbleed漏洞而成立的核心基础设施倡议(CII)和GitHub安全实验室成立的开源安全联盟,以建立一个社区来支持未来几十年的开源安全。OpenSSF致力于合作,并与上游和现有社区合作,为所有人推进开源安全。欲了解更多信息,请访问。 https://openssf.org/

关于Linux基金会

Linux基金会成立于2000年,其项目得到了1800多个成员的支持,是全球领先的开源软件、开放标准、开放数据和开放硬件的合作之家。Linux基金会的项目对世界的基础设施至关重要,包括Linux、Kubernetes、ONAP、Node.js、Hyperledger、RISC-V等等。 Linux基金会的方法专注于利用最佳实践,解决贡献者、用户和解决方案提供者的需求,以创造可持续的开放合作模式。欲了解更多信息,请访问我们的网站。 linuxfoundation.org

媒体联系方式

Babel for OpenSSF

openssf@babelpr.com

这篇文章代表作者的观点,不一定反映所有OpenSSF成员的观点。