阿里、微众、PingCAP专家分享如何解决可观测性带来的埋点成本上升、观测数据割裂等挑战。戳 了解详情
写点什么

谷歌出钱又出人,保护开源安全迫在眉睫

  • 2022 年 5 月 16 日
  • 本文字数:1416 字

    阅读完需:约 5 分钟

谷歌出钱又出人,保护开源安全迫在眉睫

5 月 12 日,在美国白宫开源软件安全峰会上,谷歌与 Linux 基金会开源软件安全基金会 (OpenSSF)以及其他行业领袖共同讨论了开源安全举措,并宣布成立“开源维护团队”。这是一个由开发人员组成的团队,他们将致力于确保上游开源项目的安全,从收紧配置到部署更新。

谷歌着眼于开源软件安全

 

本次峰会是 1 月份白宫举办的关于开源安全讨论会议的后续活动,与会者在会上讨论了开源软件在行业中的关键作用,以及如何更好地解决开源维护人员在提高项目安全性时所面临的挑战。其中,主要挑战之一是缺乏资金和人力资源来预防、发现和修复系统性安全漏洞。

 

“鉴于数字基础设施在我们生活中的重要性,是时候开始让我们用处理物理基础设施相同的方式来思考它了。开源软件是大部分网络世界的结缔组织——它值得我们为道路和桥梁提供同样的关注和资金。”谷歌全球事务总裁兼首席法律官 Kent Walker 在 1 月份的会议后表示。

 

新的开源维护团队的规模尚未公开,但考虑到 Google 可支配的资源数量,规模可能会相当可观,此外,团队选择维护哪些开源项目也将取决于许多因素。

 

在财务方面,谷歌去年承诺在未来五年内投入 100 亿美元,通过各种计划和举措帮助改善网络安全,其中包括 1 亿美元用于支持 OpenSSF 等组织。此外,谷歌还创建了 Open Source Insights 项目,该项目为所有开源包提供依赖关系图。

 

“该项目分析开源包并提供依赖关系及其属性的详细图表。有了这些信息,开发人员可以了解他们的软件是如何组合在一起的,以及他们依赖关系变化的后果——正如 Log4j 所示,当受影响的依赖关系在依赖关系图中有很多层时,这可能会很严重。”谷歌一篇博客中介绍道。

开源软件生态确立的十大目标

 

去年,拜登政府发布了一项行政命令,以提高软件供应链的安全性,而本次安全峰会距离拜登政府发布改善软件供应链安全的行政命令刚好一周年的时间。

 

Linux 基金会和 OpenSSF 在本次峰会上呼吁,在两年内提供 1.5 亿美元的资金来解决十个主要的开源安全问题。包括:

 

  1. 安全教育:向所有人提供基线安全软件开发教育和认证。

  2. 风险评估:为前 0,000 个或更多)OSS 组件建立一个公开的、供应商中立的、基于客观指标的风险评估仪表板。

  3. 数字签名:加速在软件版本中采用数字签名。

  4. 内存安全:通过替换非内存安全语言来消除许多漏洞的根本原因。

  5. 事件响应:建立 OpenSSF 开源安全事件响应团队,安全专家可以在响应漏洞的关键时刻介入协助开源项目。

  6. 更好的扫描:通过高级安全工具和专家指导,加速维护人员和专家发现新漏洞。

  7. 代码审计:每年对多达 200 个最关键的 OSS 组件进行一次第三方代码审查(以及任何必要的补救工作)。

  8. 数据共享:协调全行业的数据共享,以改进有助于确定最关键 OSS 组件的研究。

  9. 软件物料清单 (SBOM):持续改进无处不在的 SBOM 工具和培训以推动采用。

  10. 改进的供应链:使用更好的供应链安全工具和最佳实践来增强 10 个最关键的开源软件构建系统、包管理器和分发系统。

关于 OpenSSF

 

开源软件安全基金会(OpenSSF)创立于 2020 年,旨在将广泛的社区领导者聚集到一起,建立具有针对性的计划和最佳实践,以提升开源软件的安全性。除谷歌之外,OpenSSF 的成员还包括 GitHub、Microsoft、Canonical、Cisco、Facebook、Intel、HP、腾讯、IBM、Red Hat、Samsung 等。

 

参考链接:

 

https://venturebeat.com/2022/05/12/google-open-source-maintenance-crew/?fr=operanews

 

https://duo.com/decipher/new-google-team-to-help-critical-open-source-projects-improve-security

2022 年 5 月 16 日 15:441622

评论

发布
暂无评论
发现更多内容

2021春招面试经历,阿里3轮技术面+交叉3面(已成功拿到offer)

Java 程序员 架构 面试

微信小游戏直播在Android端的跨进程渲染推流实践

JackJiang

微信 即时通讯 直播技术

Flink State 和 Fault Tolerance(四)

Alex🐒

flink flink1.13

线程与线程池的那些事之线程池篇(万字长文)

秦怀杂货店

线程 线程池 并发

融云CTO任杰:强互动,RTC下一个“爆点”场景

融云 RongCloud

细节爆炸!阿里企业级Spring Security机密文档

Java 程序员 架构 面试 微服务

从字节跳动到火山引擎(二):私有云 PaaS 场景下的 Kubernetes 集群部署实践

字节跳动 云原生 #Kubernetes# 火山引擎

联邦计算在百度观星盘的实践

百度开发者中心

百度 联邦计算

如何做好业绩管理?

石云升

职场经验 管理经验 6月日更

我看JAVA 之 线程同步(上)

awen

Java synchronized 管程

唐庄酒业的酒好喝吗?纯粮酿造好味道

Geek_50a546

融云发布语聊房SDK 1.0 & Demo 满足开发者开箱即用需求

融云 RongCloud

BZZ云算力挖矿系统开发案例

华为实习结束后,鹅厂和字节跳动递来的offer让我手足无措

Java 程序员 架构 面试

网络攻防学习笔记 Day51

穿过生命散发芬芳

网络攻防 6月日更

珠宝正品溯源平台,区块链珠宝溯源方案

13530558032

利用 iOS 14 Vision 的手势估测功能 实作无接触即可滑动的 Tinder App

iOSer

ios ios开发 iOS 14 Vision Tinder App

Cilium 首次集成国内云服务,阿里云 ENI 被纳入新版本特性

阿里巴巴云原生

容器 运维 云原生

从字节跳动到火山引擎(三):替换 Spring Cloud,使用基于 Cloud Native 的服务治理

字节跳动 微服务 云原生 Spring Cloud 火山引擎

Swift在淘系的工程化应用和实践

阿里巴巴淘系技术

swift 大前端 编程语言 WWDC21

区块链电子印章平台--加速政务数字化

13530558032

酱香型白酒怎么选?唐庄酒告诉你答案

Geek_50a546

美联储最新货币政策,将如何影响比特币市场?

CECBC

零售的私域「留量」时代,SaaS的「服务」未来

ToB行业头条

数字人民币对地铁App的影响分析

CECBC

四川比特币矿机或全线关机,矿工跟矿机说:Bye,See you

CECBC

案例 | 低代码助力生产制造业,扫平数字化升级“死角”!

优秀

低代码 生产管理系统

进击的云原生,为开发者提供更多可能性

阿里巴巴云原生

从最难的而立之年走来,三十而已 —— 2021 年中总结

清秋

成长与思考 年中总结

1.5w字 + 24张图肝翻 TCP

cxuan

TCP 大前端 后端 计算机网络

蚂蚁金服内部的Spring Cloud Alibaba手册,面面俱到,太全了

Java 程序员 架构 面试 微服务

Techo Day 腾讯技术开放日「轻量级云开发与云应用」

Techo Day 腾讯技术开放日「轻量级云开发与云应用」

谷歌出钱又出人,保护开源安全迫在眉睫_开源_闫园园_InfoQ精选文章