白宮牽頭與OpenSSF和Linux基金會一道保障開源軟件安全
確保開源軟件供應鏈的安全是一件大事。去年,拜登政府發布了一項行政命令,以提高軟件供應鏈的安全性。這是在Colonial Pipeline勒索軟件攻擊關閉了整個東南部的天然氣和石油運輸以及SolarWinds軟件供應鏈攻擊之后發生的。確保軟件安全成為重中之重。
作為回應,開源安全基金會(OpenSSF)和Linux基金會起來迎接這一安全挑戰。現在,他們呼吁在兩年內提供1.5億美元的資金,以修復十個主要的開源安全問題。
美國政府將不會為這些變化支付費用。亞馬遜、愛立信、Google、英特爾、微軟和VMWare已經認捐了3000萬美元。更多的廠商已經開始行動,例如亞馬遜網絡服務(AWS)已經認捐了額外的1000萬美元。
以下是開源產業致力于實現的十個目標:
安全教育:向所有人提供基線安全軟件開發教育和認證。
風險評估:為前10000個(或更多)開放源碼軟件組件建立一個公共的、供應商中立的、基于客觀計量的風險評估儀表板。
數字簽名:加快軟件發布中數字簽名的采用。
內存安全:通過替換非內存安全的語言,消除許多漏洞的根源。
事故響應:建立OpenSSF開源安全事件響應小組,安全專家可以在應對漏洞的關鍵時刻介入,協助開源項目。
掃描技術:通過先進的安全工具和專家指導,加速維護者和專家對新漏洞的發現。
代碼審計:每年一次對多達200個最關鍵的開放源碼軟件組件進行第三方代碼審查(以及任何必要的修復工作)。
數據共享:協調全行業的數據共享,以改善有助于確定最關鍵的開放源碼軟件組件的研究。
軟件材料清單(SBOMs):推動改進SBOM工具和培訓的采用。
改進供應鏈:通過更好的供應鏈安全工具和最佳實踐,加強10個最關鍵的開源軟件構建系統、軟件包管理器和分銷系統。
了解更多:
https://8112310.fs1.hubspotusercontent-na1.net/hubfs/8112310/OpenSSF/White%20House%20OSS%20Mobilization%20Plan.pdf?hsCtaTracking=3b79d59d-e8d3-4c69-a67b-6b87b325313c%7C7a1a8b01-65ae-4bac-b97c-071dac09a2d8
推薦
直播更多》
-
特斯拉對2170電池需求持續強勁 要求松下增加供應量
松下 CFO 梅田博和 (Hirokazu Umeda...
-
特斯拉對2170電池需求持續強勁 要求松下增加供應量
松下 CFO 梅田博和 (Hirokazu Umeda...
-
由于零部件供應短缺 索尼與任天堂全年游戲機都將供不應求
日本索尼集團和任天堂都表示,由于零部...
-
可作為合成氣制備乙二醇 C60電子緩沖劑功能被我科學家揭曉
以C60為代表的富勒烯被譽為納米王子,在...
-
中國聯通科學技術協會成立大會 近日在首都北京召開
5月7日,中國聯通科學技術協會成立大會...
-
構建包容環境深入推進數字經濟做優做強 江西省推出18條具體措施
近日,江西省發布了《構建包容環境深入...
