Linux基金会启动了一个新的协作项目,旨在解决开源软件中的安全漏洞,使一些技术上最具影响力的参与者聚集在一起。
开源安全基金会(OpenSSF)将看到包括Microsoft,Github,Google,IBM,Red Hat和JPMorgan在内的创始成员,他们将结合资源来应对各种针对开源生态系统的安全挑战。
新实体将合并几个不同的重叠计划,包括开源安全联盟(OSSC)和核心基础设施计划(CII),这些计划现在将在OpenSSF的保护下运作。
CII已经获得了AWS,Cisco,Qualcomm,Intel等的支持(在OpenSSF创始成员的支持下)。在新模型下,主要区别在于该项目将不仅仅依赖于赠款,还将部分由Linux Foundation成员资助。
开源软件安全
根据Microsoft Azure CTO Mark Russinovich的说法,新项目将允许其成员更好地浏览开源生态系统独有的安全注意事项。
“开源软件本质上是社区驱动的,因此,没有中央机构负责质量和维护。由于开放源代码可以复制和克隆,因此版本控制和依赖关系特别复杂。”他在博客中写道。
“开源软件还容易受到针对社区本质的攻击,例如攻击者成为项目的维护者并引入恶意软件。考虑到开源软件的复杂性和公共性,建立更好的安全性还必须是社区驱动的过程。”
鉴于这种复杂性,新计划分为五个工作组,每个工作组负责开源安全的不同方面:
- 漏洞披露
- 安全工具
- 识别对开源项目的威胁
- 安全最佳实践
- 确保关键项目
在新基金会的理事会之下运作,有一个技术咨询委员会和监督每个工作组的独立技术委员会。
最重要的希望是,通过整合各种不同的项目并集中资源,OpenSSF将能够解决无法通过其他方式解决的开源安全性问题。