开源要安全!Linux 基金会、GitHub、GitLab、Google 联合起来了!

2020 年 8 月 5 日 CSDN


编译 | 胡雨晴,责编 | 唐小引

出品 | CSDN开源实验室

头图 | 视觉中国

今天,开源已经成为了全球技术应用的基础设施,据 Gartner 调查显示,99% 的组织在其 IT 系统中都使用了开源软件。不过,与此相伴的是一直以来开源的安全风险都是许多企业及开发者担忧的所在。据此前安全公司 WhiteSource 发布的报告统计,在过去的一年里,开源安全漏洞的数量再破记录,同比增长近 50%。


解决开源的安全问题迫在眉睫,全球最大的代码托管平台 GitHub 便一直在努力,其官方表示,开源的安全性对软件的未来至关重要,在 2019 年 GitHub 收购了 Dependabot 和 Semmle,并将这些安全工具免费提供给公共存储库,同时,GitHub 还通过创建 GitHub Security Lab 和 Open Source Security Coalition 来支持开源开发者和维护者的安全工作,截至目前,这些举措已经帮助在开源软件中发现了 120 多个 CVE。


现在,我们在保护开源安全性上迎来了更强有力的保障。


近日,Linux 基金会联合包括微软与 GitHub、Google、IBM、红帽(Red Hat)、英特尔(Intel)、VMware、优步(Uber)等在内的多家软硬件企业一起,共同成立了 Open Source Security Foundation(开源安全基金会,简称 OpenSSF),OpenSSF 官方表示,这是一项跨行业的协作,将行业领导者们聚集在一起,通过建立具有针对性的计划和最佳实践的更广泛的社区,以提升开源软件的安全性。


OpenSSF 官方表示,开源软件已在当今的技术中变得普遍,从数据中心到消费者设备,其使用范围广泛。但由于大多数开源软件项目都非常复杂,贡献者和依赖项的链条很长,很难保证安全性。因此,公司迫切需要了解和验证这些依赖链的安全性。OpenSSF 将联合各行业的领导者,致力于与上游及现有社区的协同合作,为开源软件安全保驾护航。


Linux 基金会原先成立的核心基础设施计划以及 Github 创立的开源安全联盟将与 OpenSSF 的工作进行整合,成为 OpenSFF 的一部分,为开源安全提供统一的社区。除此以外,OpenSFF 汇集了业界支持这些计划的个体和公司,包括董事会创始成员 GitHub、谷歌(Google)、IBM、JP 摩根公司(JPMorgan Chase)、微软(Microsoft)、NCC 集团、OWASP 基金会和红帽(Red Hat)等。


其他创始成员还有 ElevenPaths、GitLab、HackerOne、英特尔(Intel)、Okta、Purdue、SAFECode、StackHawk、Trail of Bits、优步(Uber)和 VMware。


尤其值得关注的是,新的基金会在治理、技术社区及决策方面将是透明的,其治理结构包括理事会技术咨询委员会以及对各个工作组和项目的单独监督,开发的任何项目将与供应商无关。接下来,OpenSSF 将核心围绕漏洞披露、安全工具、识别开源项目的安全威胁、安全最佳实践、开发者身份验证等展开工作。


Linux 基金会执行董事 Jim Zemlin 这样说道:“我们认为开源是一种公共物品,每个行业中都有责任共同努力,以改善和支持我们所依赖的开源软件的安全性。” 他表示,“确保开源安全是我们能做的最重要的事情之一,它需要世界各地的所有人共同努力。OpenSSF 将为达成此目标推动跨行业的合作。”


同时,Microsoft Azure 首席技术官 Mark Russinovich 还表示:“由于开源现在已成为几乎每个公司的技术战略的核心,因此,保护开源软件是确保每个公司(包括我们自己的公司)供应链安全的重要组成部分。与所有开源软件一样,建立更好的安全性是社区驱动的过程。微软公司的所有人都为成为开源安全基金会的创始成员而感到兴奋,我们期待与社区合作,以创建对我们所有人都有帮助的新安全解决方案。”


相关资料:

  • Technology and Enterprise Leaders Combine Efforts to Improve Open Source Security
  • GitHub joins the Open Source Security Foundation
  • The State of Open Source Security

    
    
      
更多精彩推荐
     
     
       
挑战 TensorFlow、PyTorch,“后浪”OneFlow 有没有机会?
钢铁侠马斯克的野望:实现载人航天,开源特斯拉自动驾驶
科技股疯狂造富的背后,“泡沫”离我们到底有多远?
AI不止能美颜,美妆迁移这样做 | 赠书
程序员必备基础:Git 命令全方位学习
公链还能这样玩?二次元、出圈与社区自治
点分享
点点赞
点在看
登录查看更多
0

相关内容

GitHub.com 使用 Git 作为版本控制系统(version control system)提供在线源码托管的服务,同时是个有社交功能的开发者社区。 国外类似服务: Bitbucket.com
Gitlab.com
国内类似服务:
Coding.net
【2020新书】使用Kubernetes开发高级平台,519页pdf
专知会员服务
66+阅读 · 2020年9月19日
【论文扩展】欧洲语言网格:概述
专知会员服务
6+阅读 · 2020年3月31日
专知会员服务
123+阅读 · 2020年3月26日
【阿里巴巴】 AI编译器,AI Compiler @ Alibaba,21页ppt
专知会员服务
44+阅读 · 2019年12月22日
资源|Blockchain区块链中文资源阅读列表
专知会员服务
43+阅读 · 2019年11月20日
用 GitLab 的 Merge Request 做代码评审
DevOps时代
4+阅读 · 2019年5月5日
盘点2018 年含金量最强的 6 款开源机器学习项目
七月在线实验室
7+阅读 · 2019年1月8日
已删除
将门创投
7+阅读 · 2018年12月12日
号称“开发者神器”的GitHub,到底该怎么用?
算法与数据结构
4+阅读 · 2018年3月29日
资源 | GitHub上的五大开源机器学习项目
机器之心
9+阅读 · 2017年11月9日
Learning From Positive and Unlabeled Data: A Survey
Arxiv
5+阅读 · 2018年11月12日
Arxiv
4+阅读 · 2018年11月6日
Arxiv
6+阅读 · 2016年1月15日
VIP会员
相关资讯
用 GitLab 的 Merge Request 做代码评审
DevOps时代
4+阅读 · 2019年5月5日
盘点2018 年含金量最强的 6 款开源机器学习项目
七月在线实验室
7+阅读 · 2019年1月8日
已删除
将门创投
7+阅读 · 2018年12月12日
号称“开发者神器”的GitHub,到底该怎么用?
算法与数据结构
4+阅读 · 2018年3月29日
资源 | GitHub上的五大开源机器学习项目
机器之心
9+阅读 · 2017年11月9日
Top
微信扫码咨询专知VIP会员