美國白宮與開源組織、科技巨頭共同推動1.5億美元開源軟件保護計劃

Linux基金會和開源安全基金會提出了一項為期兩年的近1.5億美元的投資計劃，以加強美國的開源安全。該計劃于當地時間5月12日在華盛頓特區舉行的開源軟件安全峰會II上宣布。來自37家公司的90名高管參加了此次活動，他們代表了開源開發者和商業生態系統的各個領域。與會者還包括來自聯邦機構的高管，包括國家安全委員會、網絡安全和基礎設施安全局、國家標準與技術研究所、美國能源部以及管理和預算辦公室。

“我們在這里以一個可行的計劃做出回應，因為開源是我們國家安全的一個關鍵組成部分，它是當今軟件創新投資數十億美元的基礎。我們有共同的義務來升級我們的集體網絡安全，Linux基金會執行董事吉姆·澤姆林 (Jim Zemlin) 在峰會上表示，該峰會是在喬·拜登總統執政一周年之際舉行的。

OpenSSF的總經理Behlendorf說：“這是一個有望覆蓋我們確定的1.5億美元的更大基金的開始。” “現在隨著計劃的發展，隨著我們找到節省資金的方法，隨著我們根據可用資金調整目標，我們將根據機會調整規模。”

IBM系統戰略和開發總經理Jamie Thomas說：“我認為這確實可以確保我們都了解開源的重要性、它使我們變得多么高效以及我們有義務考慮使用它的影響。”

亞馬遜、愛立信、谷歌、英特爾、微軟和 VMWare 已經承諾提供3000萬美元。更多的已經在路上。亞馬遜網絡服務 (AWS) 已經承諾追加1000萬美元。 

上一屆開源軟件安全峰會于2022年1月13日舉行，由白宮國家安全委員會牽頭。當時 在白宮新聞發布會上，OpenSSF總經理布賴恩·貝倫多夫（Brian Behlendorf）說： “我想明確一點： 我們不是來這里從政府那里籌集資金的。 我們沒有預料到需要直接去政府為任何人獲得資金。 ”

確立的十大目標

以下是開源行業致力于實現的十個目標。

1、安全教育：向所有人提供基線安全軟件開發教育和認證。

2、風險評估：為前0,000 個或更多）OSS 組件建立一個公開的、供應商中立的、基于客觀指標的風險評估儀表板。

3、數字簽名：加速在軟件版本中采用數字簽名。

4、內存安全：通過替換非內存安全語言來消除許多漏洞的根本原因。

5、事件響應：建立OpenSSF開源安全事件響應團隊，安全專家可以在響應漏洞的關鍵時刻介入協助開源項目。

6、更好的掃描：通過高級安全工具和專家指導，加速維護人員和專家發現新漏洞。

7、代碼審計：每年對多達200個最關鍵的OSS組件進行一次第三方代碼審查（以及任何必要的補救工作）。

8、數據共享：協調全行業的數據共享，以改進有助于確定最關鍵OSS組件的研究。

9、軟件物料清單 (SBOM)：持續改進 無處不在的SBOM工具和培訓以推動采用。

10、改進的供應鏈：使用更好的供應鏈安全工具和最佳實踐來增強10個最關鍵的開源軟件構建系統、包管理器和分發系統。

乍一看，這也是一項艱巨的任務。例如，作為所有開源項目中最重要的Linux 內核核心的C語言存在許多漏洞。雖然內存安全的Rust語言現在正在Linux中使用，但要在Linux超過2780萬行代碼中取代 C語言還需要幾年甚至幾十年的時間。事實上，很難確定是否會看到所有Linux的C代碼都被Rust取代。 

開源安全公司Chainguard呼吁軟件行業對Sigstore進行標準化。Sigstore使開發人員能夠安全地簽署軟件工件，例如發布文件、容器映像、二進制文件、物料清單清單。這個Linux 基金會項目得到了谷歌、紅帽和普渡大學的支持。

投資計劃

Linux基金會和OpenSSF已經為1.5億美元確定了10個投資流，將在兩年內分攤。

*數字簽名將在第一年之后獲得一次性1000萬美元的投資推動。

根據OpenSSF執行董事布賴恩·貝倫多夫 (Brian Behlendorf) 的說法，該計劃是“匯集一系列關于那里出現的問題以及我們可以采取哪些措施來解決問題的想法和原則”。他補充說，確定的10個投資領域代表了“地面上的10面旗幟，作為開始的基礎”。

峰會“致力于制定更廣泛的社區可以采用的行動計劃，其中包括10個專注于加強軟件供應鏈的開源活動流的綜合投資組合，”軟件供應鏈平臺，DevOps公司JFrog開發人員關系副總裁Stephen Chin受邀參加峰會。Chin表示，雖然開源一直被視為現代化的種子，但最近軟件供應鏈攻擊的興起表明，需要一個更強化的流程來驗證開源——源存儲庫。

“我們相信，只有為OSS項目提供與企業可用的相同工具和服務，開源安全才會成功。對開源項目的自動化工具和高質量安全數據庫的訪問至關重要，”他補充道。

無處不在的SBOM是重中之重

在過去一年中獲得突出的投資流之一是軟件材料清單或SBOM。該計劃詳細說明了第一年在該領域的320萬美元投資，而后一年的金額尚未確定。

在峰會上宣布的計劃承認，企業通常沒有他們部署的軟件資產的清單，也沒有關于他們所獲得的軟件中的組件的數據。當他們考慮購買新軟件時，企業通常無法衡量其組件包含的風險，包括已知漏洞。

“SBOM是為開源供應鏈漏洞提供透明度的最關鍵部分之一。今天的挑戰是，構建端到端的SBOM就像不穩定地堆疊人工構建且易受更改影響的Jenga塔。要成功，標準和工具需要像樂高積木一樣自動化和集成，無縫堆疊和集成，”Chin說。

在他們的計劃中，Linux基金會和OpenSSF表示，多個行業已將SBOM確定為解決開源安全問題的基本構建塊。但要適當應對挑戰，SBOM的采用必須廣泛、標準化和準確。“通過專注于工具和宣傳，我們可以消除各地SBOM的生成、消費和整體采用的障礙。我們可以改善整個開源生態系統的安全態勢：生產者、消費者和維護者，”這些組織表示

他們建議為開發人員團隊提供資源，以改進工具并將SBOM融入所有主要編程語言中最流行的軟件構建工具和基礎設施。

Chin表示，專注于提升“10 個最關鍵的OSS構建系統、包管理器和分發系統，以及更好的供應鏈安全工具和最佳實踐，將有助于解決易受攻擊的軟件存儲庫——企業軟件的最大攻擊媒介”。

參考資源

1、https://www.zdnet.com/article/white-house-joins-openssf-and-the-linux-foundation-in-securing-open-source-software/

2、https://www.govinfosecurity.com/150-million-plan-to-secure-open-source-software-a-19072

3、https://www.fedscoop.com/companies-fund-securing-open-source-software/

文章來源：網空閑話