白宫与 OpenSSF 和 Linux 基金会一起保护开源软件
在近日举办的美国白宫开源软件安全峰会上,Linux 基金会和开源软件安全基金会(OpenSSF) 与来自 37 家公司的 90 多名高管、以及美国政府相关领导人共同讨论了开源安全举措。此次会议距离拜登政府发布改善软件供应链安全的行政命令刚好一周年的时间。 Linux 基金会和 OpenSSF 在会议上呼吁,在两年内提供 1.5 亿美元的资金来解决十个主要的开源安全问题。包括: 安全教育:向所有人提供基线安全软件开发教育和认证。 风险评估:为前 10,000 个(或更多)OSS 组件建立一个公开的、供应商中立的、基于客观指标的风险评估仪表板。 数字签名:加速在软件版本中采用数字签名。 内存安全:通过替换非内存安全语言来消除许多漏洞的根本原因。 事件响应:建立 OpenSSF 开源安全事件响应团队,安全专家可以在响应漏洞的关键时刻介入协助开源项目。 更好的扫描:通过高级安全工具和专家指导,加速维护人员和专家对新漏洞的发现。 代码审计:每年对多达 200 个最关键的 OSS 组件进行一次第三方代码审查(以及任何必要的修复工作)。 数据共享:协调全行业的数据共享,以改进有助于确定最关键 OSS...
