Linux基金会启动了一个新的协作项目,旨在解决开源软件中的安全漏洞,使一些技术上最具影响力的参与者聚集在一起。

开源安全基金会(OpenSSF)将看到包括Microsoft,Github,Google,IBM,Red Hat和JPMorgan在内的创始成员,他们将结合资源来应对各种针对开源生态系统的安全挑战。

新实体将合并几个不同的重叠计划,包括开源安全联盟(OSSC)和核心基础设施计划(CII),这些计划现在将在OpenSSF的保护下运作。

CII已经获得了AWS,Cisco,Qualcomm,Intel等的支持(在OpenSSF创始成员的支持下)。在新模型下,主要区别在于该项目将不仅仅依赖于赠款,还将部分由Linux Foundation成员资助。

开源软件安全

根据Microsoft Azure CTO Mark Russinovich的说法,新项目将允许其成员更好地浏览开源生态系统独有的安全注意事项。

“开源软件本质上是社区驱动的,因此,没有中央机构负责质量和维护。由于开放源代码可以复制和克隆,因此版本控制和依赖关系特别复杂。”他在博客中写道。

“开源软件还容易受到针对社区本质的攻击,例如攻击者成为项目的维护者并引入恶意软件。考虑到开源软件的复杂性和公共性,建立更好的安全性还必须是社区驱动的过程。”

鉴于这种复杂性,新计划分为五个工作组,每个工作组负责开源安全的不同方面:

  • 漏洞披露
  • 安全工具
  • 识别对开源项目的威胁
  • 安全最佳实践
  • 确保关键项目

在新基金会的理事会之下运作,有一个技术咨询委员会和监督每个工作组的独立技术委员会。

最重要的希望是,通过整合各种不同的项目并集中资源,OpenSSF将能够解决无法通过其他方式解决的开源安全性问题。