提高開源軟件安全的十點行動計劃

近日，Linux基金會和開源軟件安全基金會在37家公司的高管和許多美國官員提供的意見基礎上，提出了一個10點行動計劃，通過保護開源安全開發、改進漏洞發現和修復，縮短生態系統的補丁響應時間來提高開源軟件供應鏈安全。

計劃的10個要點如下：

1.安全培訓——向所有人提供基線安全軟件開發培訓和認證。

2.風險評估——為前10000個（或更多）OSS組件建立一個公開的、供應商中立的、基于客觀指標的風險評估儀表板。

3.數字簽名——加速在軟件版本中采用數字簽名。

4.內存安全——通過替換非內存安全語言來消除許多漏洞的根本原因。

5.事件響應——建立OpenSSF開源安全事件響應團隊，安全專家可以在響應漏洞的關鍵時刻介入以協助開源項目。

6.更好的掃描——通過先進的安全工具和專家指導，加速維護人員和專家發現新漏洞。

7.代碼審計——每年對多達200個最關鍵的OSS組件進行一次第三方代碼審查（以及任何必要的補救工作）。

8.數據共享——協調全行業的數據共享，以改進有助于確定最關鍵OSS組件的研究。

9.SBOM無處不在——改進SBOM推動采用的工具和培訓。

10.改進的供應鏈——通過更好的供應鏈安全工具和最佳實踐來增強10個最關鍵的OSS構建系統、包管理器和分發系統。

值得注意的是，該計劃還提出未來兩年需要大約1.5億美元的安全資金，以快速推進針對該計劃確定的十個主要問題的解決方案。

一部分OpenSSF社區參與企業共同承諾為實施該計劃提供第一筆資金。這些公司是亞馬遜、愛立信、谷歌、英特爾、微軟和VMWare，認捐超過3000萬美元。隨著計劃的發展，將確定下一步募集的資金。

這些都是OpenSSF社區成員對開源軟件的現有投資之上追加的投資。對利益相關者的一項非正式民意調查顯示，開源社區花費了超過1.1億美元并雇用了近百名全職安全人員來專職保護開源軟件。該計劃進一步增加了這些投資。

參考鏈接：

https://8112310.fs1.hubspotusercontent-na1.net/hubfs/8112310/OpenSSF/White%20House%20OSS%20Mobilization%20Plan.pdf

（來源：@GoUpSec）