写点什么

谷歌出钱又出人,保护开源安全迫在眉睫

  • 2022-05-16
  • 本文字数:1416 字

    阅读完需:约 5 分钟

谷歌出钱又出人,保护开源安全迫在眉睫

5 月 12 日,在美国白宫开源软件安全峰会上,谷歌与 Linux 基金会开源软件安全基金会 (OpenSSF)以及其他行业领袖共同讨论了开源安全举措,并宣布成立“开源维护团队”。这是一个由开发人员组成的团队,他们将致力于确保上游开源项目的安全,从收紧配置到部署更新。

谷歌着眼于开源软件安全

 

本次峰会是 1 月份白宫举办的关于开源安全讨论会议的后续活动,与会者在会上讨论了开源软件在行业中的关键作用,以及如何更好地解决开源维护人员在提高项目安全性时所面临的挑战。其中,主要挑战之一是缺乏资金和人力资源来预防、发现和修复系统性安全漏洞。

 

“鉴于数字基础设施在我们生活中的重要性,是时候开始让我们用处理物理基础设施相同的方式来思考它了。开源软件是大部分网络世界的结缔组织——它值得我们为道路和桥梁提供同样的关注和资金。”谷歌全球事务总裁兼首席法律官 Kent Walker 在 1 月份的会议后表示。

 

新的开源维护团队的规模尚未公开,但考虑到 Google 可支配的资源数量,规模可能会相当可观,此外,团队选择维护哪些开源项目也将取决于许多因素。

 

在财务方面,谷歌去年承诺在未来五年内投入 100 亿美元,通过各种计划和举措帮助改善网络安全,其中包括 1 亿美元用于支持 OpenSSF 等组织。此外,谷歌还创建了 Open Source Insights 项目,该项目为所有开源包提供依赖关系图。

 

“该项目分析开源包并提供依赖关系及其属性的详细图表。有了这些信息,开发人员可以了解他们的软件是如何组合在一起的,以及他们依赖关系变化的后果——正如 Log4j 所示,当受影响的依赖关系在依赖关系图中有很多层时,这可能会很严重。”谷歌一篇博客中介绍道。

开源软件生态确立的十大目标

 

去年,拜登政府发布了一项行政命令,以提高软件供应链的安全性,而本次安全峰会距离拜登政府发布改善软件供应链安全的行政命令刚好一周年的时间。

 

Linux 基金会和 OpenSSF 在本次峰会上呼吁,在两年内提供 1.5 亿美元的资金来解决十个主要的开源安全问题。包括:

 

  1. 安全教育:向所有人提供基线安全软件开发教育和认证。

  2. 风险评估:为前 0,000 个或更多)OSS 组件建立一个公开的、供应商中立的、基于客观指标的风险评估仪表板。

  3. 数字签名:加速在软件版本中采用数字签名。

  4. 内存安全:通过替换非内存安全语言来消除许多漏洞的根本原因。

  5. 事件响应:建立 OpenSSF 开源安全事件响应团队,安全专家可以在响应漏洞的关键时刻介入协助开源项目。

  6. 更好的扫描:通过高级安全工具和专家指导,加速维护人员和专家发现新漏洞。

  7. 代码审计:每年对多达 200 个最关键的 OSS 组件进行一次第三方代码审查(以及任何必要的补救工作)。

  8. 数据共享:协调全行业的数据共享,以改进有助于确定最关键 OSS 组件的研究。

  9. 软件物料清单 (SBOM):持续改进无处不在的 SBOM 工具和培训以推动采用。

  10. 改进的供应链:使用更好的供应链安全工具和最佳实践来增强 10 个最关键的开源软件构建系统、包管理器和分发系统。

关于 OpenSSF

 

开源软件安全基金会(OpenSSF)创立于 2020 年,旨在将广泛的社区领导者聚集到一起,建立具有针对性的计划和最佳实践,以提升开源软件的安全性。除谷歌之外,OpenSSF 的成员还包括 GitHub、Microsoft、Canonical、Cisco、Facebook、Intel、HP、腾讯、IBM、Red Hat、Samsung 等。

 

参考链接:

 

https://venturebeat.com/2022/05/12/google-open-source-maintenance-crew/?fr=operanews

 

https://duo.com/decipher/new-google-team-to-help-critical-open-source-projects-improve-security

2022-05-16 15:442415

评论

发布
暂无评论
发现更多内容

案例研究之聊聊 QLExpress 源码 (九)

小诚信驿站

聊聊架构 28天写作 QLExpress源码 聊聊源码

产品经理训练营——作业1

小匚

Python 字节跳动 产品经理训练营 极客大学产品经理训练营

区块链农产品溯源--实现农产品全程溯源

CECBC

食品溯源

运维数智化时代——京东数科AIOps落地实践(一)

京东科技开发者

运维自动化 AIOPS

CopyOnWriteArrayList 读写分离,弱一致性

叫练

弱一致性 读写分离; Vector; fail-fast; fail-safe

没搞清楚网络I/O模型?那怎么入门Netty

Java 后端 io

量化交易自动炒币机器人系统开发搭建

薇電13242772558

策略模式 区块链+

中国工业的基础设施“重化工业”是怎么发展起来的

JiangX

供应链 工业 28天写作 制造

第一周作业

Geek_72d5ab

杭州产品岗位现状分析

王振

数字人民币支付新选择 没有网络时也能使用

CECBC

数字红包

给现实深情拥抱,向产业洪流奔跑:华为云AI的2020

脑极体

现在就开始倒数2030了? 华为的这条线索不能错过

脑极体

限量!阿里甩出878页性能优化笔记阿里甩出878页性能优化笔记!

Java架构之路

Java 程序员 架构 面试 编程语言

大厂必问Redis:肝完这份阿里出品“Redis神技”还说你不会Redis?

Java架构之路

Java 程序员 架构 面试 编程语言

基础篇-http协议《http 简介、url详解、request》

清菡软件测试

测试

Kafka底层原理剖析(近万字建议收藏)

五分钟学大数据

大数据 kafka

安全白帽子可能会为DevSecOps铺平道路

啸天

DevSecOps 应用安全 开发安全

「回血赠书」Python入门书单,新年全力扬帆

博文视点Broadview

一文带你学会AQS和并发工具类的关系2

伯阳

Java AQS 多线程 lock

面试官:如果让你设计一个高并发的消息中间件,你会怎么做?

冰河

并发编程 高并发 消息队列 消息中间件

[如果公司要招一个高级版你]给资深/晋升后的岗位写一个理想岗位模型(Job Model)

Geek_lot02c

产品经理训练营

【函数计算实践】阿里云函数计算初探

程序员架构进阶

阿里云 架构 函数计算 28天写作 弹性扩容

HTML(二)——用html设置文本

程序员的时光

程序员 28天写作

第一章 认识产品经理(下)

郭栋

GMT UTC CST ISO 夏令时 时间戳,都是些什么鬼?

YourBatman

ISO 时间戳 GMT UTC

「产品经理训练营」作业01:如果公司要招一个高级版的你

狷介

产品经理训练营

下一代消息队列pulsar到底是什么

比伯

Java 编程 架构 面试 计算机

Zookeeper面试常见11个连环炮

田维常

面试

有内味了!阿里内部Tomcat高阶调优笔记成功刷新了我的认知

Java架构之路

Java 程序员 架构 面试 编程语言

中国区块链行业人才缺口将达75万以上

CECBC

区块链人才

谷歌出钱又出人,保护开源安全迫在眉睫_开源_闫园园_InfoQ精选文章