东京,2022年8月23日 - Linux基金会 和 开放源代码软件安全基金会(OpenSSF) 在经济产业省的支持下,今天在日本开源安全峰会上召集来自日本公司、政府机构和研究机构的网络安全专家,分享开源软件(OSS)的安全问题和如何加速改进。这次会议将汇集来自27个组织的网络安全官员和专家,包括领先的开放源码软件公司。
现代软件供应链在底层组件和操作上都普遍依赖开源软件。各个组织(包括公司和政府)经常使用开放源码软件来提高开发速度和质量,并以技术革新为目标。通过采用开放源码软件,各行业可以共享开放源码软件的好处,但如果发现开放源码软件组件的漏洞,其影响将广泛存在于世界各地的组织和社区。确保开放源码软件的安全是最重要的,为此,需要各国和各行业的合作努力。
日本开源安全峰会是继1月13日由美国白宫主办的改善开放源码软件安全的会议和5月12日由Linux基金会/OpenSSF主办的由白宫国家安全委员会领导的 "开源安全峰会II "的后续会议之后召开的。通过这次会议,我们将分享在第二届开源安全峰会上达成共识的 "开源软件安全动员计划",同时也将提供参与全球合作改善开源软件安全的机会。
Masahiro Uemura先生,经济贸易和工业部日本开源安全峰会的主旨演讲人表示。
"在对包括开放源码软件在内的软件技术的依赖程度越来越高的同时,软件管理方法、漏洞处理和许可证支持也变得越来越重要,比如说Log4j漏洞的公布。正如我今天要介绍的,经济产业省也在为确保包括OSS在内的软件安全做出各种努力,制定了OSS管理方法的实践集,并进行了SBOM的使用示范。通过这次会议,我们希望加深对包括开放源码软件在内的软件安全的认识,并促进日本更积极地解决管理方法和漏洞对策等问题。"
* 对于日文的原始评论 请看这里.
活动的主持人。 Linux基金会执行主任Jim Zemlin 评论说。
"开源软件现在是全世界关键基础设施的核心。现在的风险要大得多,而重大漏洞的潜在损害也比以往大得多。世界各国政府现在都在呼吁开源软件社区提高水平,确保我们的开发流程和软件供应链以更好的安全和减少风险为中心。Linux基金会的各种项目,从Linux内核到Kubernetes再到Let's Encrypt,长期以来在定义和采用更好的安全实践方面一直处于行业领先地位。我们渴望与日本的企业和政府机构合作,加强他们的安全态势,并合作改善全球的软件环境"。
开源安全基金会总经理Brian Behlendorf 评论说。
"OpenSSF随时准备与日本的商业和政策界接触,以制定一个以安全为中心的方法来使用和开发支撑现代全球社会的开源软件。我们希望今天的谈话能够加快日本国内以及与全球合作伙伴合作和实施重要安全标准、实践和软件的步伐。这将确保全球软件供应链是强大的,并能抵御网络攻击和漏洞"。
Linux基金会日本运营部副总裁福安纪明 评论说。
"现在有人说,不使用开放源码软件,就不可能开发软件产品和服务。也有人说,OSS在其产品和服务中的平均比例约为80%,毫不夸张地说,OSS是社会的基础设施。我们认为,基础设施的安全措施是网络安全措施中最重要的问题之一。我希望这个动员计划和日本开源安全峰会将有助于提高日本对 "开放源码软件安全 "重要性的认识,并为业界提供一次团结起来解决这一重要问题的机会。"
日本开源安全峰会的背景
2020年和2021年发生在美国的大规模网络攻击事件(2020年的SolarWinds Inc.事件和2021年的Colonial Pipeline Inc.事件)使美国的网络攻击威胁成为政府机构和社会基础设施成为一个紧迫的问题,总统乔-拜登于2021年5月12日签署了加强网络安全的总统令,以加强网络安全,并指明了深化政府与与政府签约的信息和通信服务公司在网络安全领域的公私伙伴关系的方向,旨在发展这一领域。
据说,现在企业产品和服务中包含的70%到90%的软件是OSS。2021年底,在一个使用极为广泛的OSS中发现了一个严重的漏洞,名为 "Log4j"。美国政府感到越来越紧迫,于2022年1月13日召开了第一次 "开源安全峰会",由副国家安全顾问Anne Neuberger牵头,将美国政府官员和国内主要技术公司的负责人聚集在白宫,讨论如何提高开源软件的安全性。该活动讨论了改善开放源码软件安全的努力,以及新的合作如何帮助加速改善。
2022年5月12日,"开源安全峰会II "举行(由Linux基金会主办)。与会者就 "开源软件安全动员计划 "达成一致,这是一个改善开放源码软件安全的具体计划,并宣布计划在未来两年内从公司和其他组织筹集$150M的资金,作为具体活动来实施该计划。
日本开源安全峰会是由Linux基金会在经济产业省的支持下主办的,以响应美国的上述努力。
开放源代码软件安全动员计划
Linux基金会和开源安全基金会在听取了各经济部门的意见后,发布了他们的第一个动员计划,广泛涉及开放源码软件和软件供应链安全。该计划为以下三个目标确定了10个关键问题,以实施经过审核的解决方案。
- 创建安全的开放源码软件
- 加强漏洞检测和修复
- 缩短生态系统补丁响应时间
亚马逊、爱立信、谷歌、英特尔、微软和VMWare已经承诺提供超过$的资金来实施该解决方案。该计划建立在OpenSSF参与者已经进行的OSS安全工作的基础上(超过$1.1亿,约100名全职员工致力于保障OSS的安全)。
全文(白皮书)可以在这里找到。
- 日本人。 OSSセキュリティのための動員プラン
- 原文(英文)。 开放源代码软件安全动员计划
经济产业省为确保包括开放源码软件在内的软件安全所做的努力
经济产业省商业和信息政策局网络安全处成立了一个特别小组,研究软件管理方法,以确保网络物理安全。该工作组正致力于开发一套利用开放源码软件和确保其安全的管理方法,并开展一个示范项目(PoC),以促进SBOM的利用。
- サイバー・フィジカル・セキュリティ确保に向けたソフトウェア管理手法等検討タスクフォースの検討の方向性 (令和4年7月26日)
- OSS の利活用及びそのセキュリティ确保に向けた管理手法に関する事例集 (令和4年5月10日拡充版)
- 英文版本: English version:关于利用开放源码软件和确保其安全的管理方法的用例收集
Linux基金会,OpenSSF的开放源码软件安全倡议
OpenSSF由Linux基金会主办,于2020年8月启动,是一个跨行业合作的中心,以提高OSS的安全性。OpenSSF将业界最重要的开放源码软件安全倡议与支持它们的个人和公司联系起来。为解决Heartbleed漏洞(2014年)而成立的核心基础设施倡议(CII)和由GitHub安全实验室成立的开源安全联盟也成为OpenSSF的一部分。该组织的管理、技术社区和决策是透明的,所制定的规范和项目是独立于供应商的。
为了帮助开源项目更好地解决与安全相关的一些责任,Linux基金会主持的许多社区在一些重要的工作中投入了无数的时间、资源和代码,并努力提高Linux内核的安全性,主持Let's Encrypt和sigstore,帮助管理SPDX的ISO标准化,并通过CHAOSS项目汇集了一个社区建立OSS健康和风险的指标--以及其他许多。
###
关于OpenSSF
开源安全基金会(OpenSSF)是一个由Linux基金会主办的跨行业组织,它将业界最重要的开源安全计划以及支持这些计划的个人和公司聚集在一起。OpenSSF致力于合作,并与上游和现有社区合作,为所有人推进开源安全。欲了解更多信息,请访问我们的网站。 openssf.org.
关于Linux基金会
Linux基金会成立于2000年,其项目得到了2950多个成员的支持。Linux基金会是世界上领先的开源软件、硬件、标准和数据的合作之家。Linux基金会的项目对世界的基础设施至关重要,包括Linux、Kubernetes、Node.js、ONAP、Hyperledger、RISC-V等等。Linux基金会的方法专注于利用最佳实践,解决贡献者、用户和解决方案提供者的需求,以创造可持续的开放合作模式。欲了解更多信息,请访问我们的网站 linuxfoundation.org.
