包括亚马逊、谷歌和微软在内的科技巨头已承诺投入数百万美元来加强开源软件的安全性。
该承诺是上周在华盛顿特区举行的一次会议上做出的,由 Linux 基金会和开源软件安全基金会 (OpenSSF) 领导的开源领导人分享了他们增强软件供应链安全性的计划。
政府领导人和来自 37 家公司的 90 多名高管参加了这次行业聚会,是对 1 月份在Log4Shell 零日漏洞之后召开的历史性白宫峰会的后续行动。该漏洞影响了 Apache 的 Log4j 库,这是一种无处不在的日志记录软件,它使全球数百万台设备处于危险之中。但根据 3 月份的一项研究,几乎三分之一的实例仍未修补。
在上周的会议上,包括亚马逊、爱立信、谷歌、英特尔、微软和 VMware 在内的公司共同承诺提供 3000 万美元,用于资助一项旨在提高开源软件安全性的 10 点计划。由 Linux 基金会和 OpenSSF 设计的首创计划旨在保护开源代码的生产,改进漏洞检测和修复,并缩短补丁响应时间。这将包括创建称为 SBOM 的软件材料清单,使公司能够了解他们在其技术堆栈中使用的软件。
所谓的软件供应链安全动员计划还呼吁对开源社区的每个工作人员进行安全教育,淘汰 C+ 和 COBOL 等非内存安全编程语言,并每年对 200 个开源社区的第三方代码进行审查。最关键的开源软件组件。
最终目标是更快地发现和修复像 Log4Shell 这样的漏洞,以更好地保护美国免受利用不安全软件平台和设备的恶意网络攻击。
OpenSSF 执行董事布赖恩·贝伦多夫说:“我们在这里共同做的是融合一系列想法和原则,了解那里出现的问题以及我们可以做些什么来解决它。” “我们制定的计划代表了地面上的 10 面旗帜,作为开始的基础。我们渴望得到进一步的投入和承诺,使我们从计划变为行动。”
谷歌云在峰会期间还宣布将成立开源维护团队,这是一个专门的工程师团队,将与上游维护者合作,以提高各种开源项目的安全性。
原文: https://techcrunch.com/2022/05/16/white-house-open-source-security/