开源软件是最重要的软件类型之一,几乎每个人都可以跨用例使用和修补。因此,加强这些软件背后的安全参数是至关重要的,不仅考虑到它们的广泛使用,而且考虑到用于特定目的的公司和企业的类型。
上周在华盛顿特区举行的一次会议上,一些最著名的科技巨头非常重视这一概念。万博体育登录首页这次会议是由开源安全基金会(OpenSSF)和Linux基金会共同举办的,强调了开源软件安全的重要性。上述科技巨万博体育登录首页头介绍了他们在供应链中使用的开源软件背后加强安全的方式,这已成为出席会议的公司最重要的焦点之一,如微软、亚马逊、谷歌、VMware、英特尔、爱立信等近29家公司。
创造了软件供应链安全动员计划,包括10个要点,获得了3000万美元的巨额资金,以帮助加强开源软件的安全。它旨在从各个方面改进和增强此类软件,如漏洞检测、源代码生产安全性、特定攻击的补救、更短的补丁时间等等。该计划甚至将包括一个完整的SBOM,或软件材料清单,以帮助行业内所有不同的科技公司见证公司技术堆栈中使用的软件的全面广度。万博体育登录首页
相关文章:Log4j危机后,开源软件被认为是潜在的国家安全威胁
这次会议本身是今年1月白宫座谈的后续Log4Shell零日漏洞该漏洞攻击了Apache的Log4j库,使全球众多不同设备面临风险。Log4j库是一种基于java的日志记录实用程序,用于大量不同的设备和企业,其中主要是亚马逊的AWS,这使得该漏洞成为一个相当可怕的情况,甚至可能仍有未修复的问题.
除了筹集资金和支持开源软件安全的立场外,上述倡议还将试图加强围绕这些实践的固有知识。虽然开源软件肯定是有用和必要的,但通常情况下,它背后的安全性是不存在的。这就是SSCSM计划试图通过安全教育、消除非内存安全编程语言(如COBOL和C+)以及每年举行第三方代码审查会议来解决问题的地方。
谷歌的云部门宣布成立一个开源维护团队,该团队将通过智能工程师为上游维护人员提供支持,以加强开源社区的全面安全性。这一举措背后的主要驱动力是在Log4Shell所见证的漏洞发生之前发现并阻止它们,保护美国免受恶意软件攻击,保护企业免受剥削软件的侵害。
OpenSSF的执行董事Brian Behlendorf解释说:“我们在这里共同做的是汇集一套思想和原则,了解那里发生了什么,以及我们可以做些什么来修复它。我们制定的计划代表了地面上的10面旗帜,作为开始的基础。我们渴望得到进一步的投入和承诺,使我们从计划变为行动。”
