发布在即!企业 AIGC 应用程度测评,3 步定制专属评估报告。抢首批测评权益>>> 了解详情
写点什么

谷歌出钱又出人,保护开源安全迫在眉睫

  • 2022-05-16
  • 本文字数:1416 字

    阅读完需:约 5 分钟

谷歌出钱又出人,保护开源安全迫在眉睫

5 月 12 日,在美国白宫开源软件安全峰会上,谷歌与 Linux 基金会开源软件安全基金会 (OpenSSF)以及其他行业领袖共同讨论了开源安全举措,并宣布成立“开源维护团队”。这是一个由开发人员组成的团队,他们将致力于确保上游开源项目的安全,从收紧配置到部署更新。

谷歌着眼于开源软件安全

 

本次峰会是 1 月份白宫举办的关于开源安全讨论会议的后续活动,与会者在会上讨论了开源软件在行业中的关键作用,以及如何更好地解决开源维护人员在提高项目安全性时所面临的挑战。其中,主要挑战之一是缺乏资金和人力资源来预防、发现和修复系统性安全漏洞。

 

“鉴于数字基础设施在我们生活中的重要性,是时候开始让我们用处理物理基础设施相同的方式来思考它了。开源软件是大部分网络世界的结缔组织——它值得我们为道路和桥梁提供同样的关注和资金。”谷歌全球事务总裁兼首席法律官 Kent Walker 在 1 月份的会议后表示。

 

新的开源维护团队的规模尚未公开,但考虑到 Google 可支配的资源数量,规模可能会相当可观,此外,团队选择维护哪些开源项目也将取决于许多因素。

 

在财务方面,谷歌去年承诺在未来五年内投入 100 亿美元,通过各种计划和举措帮助改善网络安全,其中包括 1 亿美元用于支持 OpenSSF 等组织。此外,谷歌还创建了 Open Source Insights 项目,该项目为所有开源包提供依赖关系图。

 

“该项目分析开源包并提供依赖关系及其属性的详细图表。有了这些信息,开发人员可以了解他们的软件是如何组合在一起的,以及他们依赖关系变化的后果——正如 Log4j 所示,当受影响的依赖关系在依赖关系图中有很多层时,这可能会很严重。”谷歌一篇博客中介绍道。

开源软件生态确立的十大目标

 

去年,拜登政府发布了一项行政命令,以提高软件供应链的安全性,而本次安全峰会距离拜登政府发布改善软件供应链安全的行政命令刚好一周年的时间。

 

Linux 基金会和 OpenSSF 在本次峰会上呼吁,在两年内提供 1.5 亿美元的资金来解决十个主要的开源安全问题。包括:

 

  1. 安全教育:向所有人提供基线安全软件开发教育和认证。

  2. 风险评估:为前 0,000 个或更多)OSS 组件建立一个公开的、供应商中立的、基于客观指标的风险评估仪表板。

  3. 数字签名:加速在软件版本中采用数字签名。

  4. 内存安全:通过替换非内存安全语言来消除许多漏洞的根本原因。

  5. 事件响应:建立 OpenSSF 开源安全事件响应团队,安全专家可以在响应漏洞的关键时刻介入协助开源项目。

  6. 更好的扫描:通过高级安全工具和专家指导,加速维护人员和专家发现新漏洞。

  7. 代码审计:每年对多达 200 个最关键的 OSS 组件进行一次第三方代码审查(以及任何必要的补救工作)。

  8. 数据共享:协调全行业的数据共享,以改进有助于确定最关键 OSS 组件的研究。

  9. 软件物料清单 (SBOM):持续改进无处不在的 SBOM 工具和培训以推动采用。

  10. 改进的供应链:使用更好的供应链安全工具和最佳实践来增强 10 个最关键的开源软件构建系统、包管理器和分发系统。

关于 OpenSSF

 

开源软件安全基金会(OpenSSF)创立于 2020 年,旨在将广泛的社区领导者聚集到一起,建立具有针对性的计划和最佳实践,以提升开源软件的安全性。除谷歌之外,OpenSSF 的成员还包括 GitHub、Microsoft、Canonical、Cisco、Facebook、Intel、HP、腾讯、IBM、Red Hat、Samsung 等。

 

参考链接:

 

https://venturebeat.com/2022/05/12/google-open-source-maintenance-crew/?fr=operanews

 

https://duo.com/decipher/new-google-team-to-help-critical-open-source-projects-improve-security

2022-05-16 15:441914

评论

发布
暂无评论
发现更多内容

【技术分享】浅谈RTC及Agora RTC SDK集成介绍

Hanson

《前端实战总结》之使用CSS3实现酷炫的3D旋转透视

徐小夕

css3 大前端 CSS小技巧

接口测试怎么进行,如何做好接口测试

测试人生路

软件测试 接口测试

技巧收藏|10个JavaScript常用数组操作方法

华为云开发者联盟

Java 数组 开发

国产电子表格Luckysheet后台也开源了!支持在线协作,一键docker私有部署

奇异石榴果

Java Excel SpreadJS 表格控件

即使不会node.js,拖拽就可完成数据的可视化展示

华为云开发者联盟

node.js 数据 可视化

架构师训练营第 1 期 -week11

习习

英特尔推动集成光电的发展,用于数据中心

E科讯

关于binlog,这个参数能不能用?

Simon

MySQL Binlog

想了解任务型对话机器人,我们先从自然语言理解聊起

华为云开发者联盟

人工智能 机器人 自然语言

已拿腾讯后台开发岗offer,简单说下自己的面试经历和学习路线

程序员小灰

c++ 后台开发 架构师 TCP/IP Linux服务器开发

新闻|Babelfish使PostgreSQL直接兼容SQL Server应用程序

PostgreSQLChina

数据库 postgresql 开源

1分钟解密:博睿大数据核心引擎Bonree Zeus六大优势

博睿数据

英特尔神经拟态生态系统发展和研究的最新进展

E科讯

IntelliJ IDEA 2020.3正式发布,年度最后一个版本很讲武德

YourBatman

IDEA 新特性 2020.3

给你一个亿的keys,Redis如何统计?

不才陈某

redis

一个真正0基础小白学习前端开发的心路历程

华为云开发者联盟

开发 开发小白 0基础

ONES 收购知名协作工具 Tower

万事ONES

团队协作 高效 研发管理工具 收购 资讯

性能压测

jorden wang

挑战赛 | 话题王者VS互动先锋(第一季)

InfoQ写作社区官方

话题讨论 热门活动

加码线下,新荣耀“破题”场景经济

脑极体

javascript开发后端程序的神器nodejs

程序那些事

Java 后端 nodejs koa 程序那些事

ONES 收购 Tower,五源资本合伙人对话两位创始人

万事ONES

项目管理 团队协作 ONES Tower 收购

训练营第七周作业

大脸猫

极客大学架构师训练营

英特尔发布第二代Horse Ridge低温量子控制芯片

E科讯

Linux平台中调试C/C++内存泄漏方法 (腾讯和MTK面试的时候问到的)

linux大本营

c++ Linux 后台开发 架构师

面试无忧:源码+实践,讲到MySQL调优的底层算法实现

996小迁

Java 架构 面试

腾讯大牛整合Java+spring5系统学习架构,神乎其技

小Q

Java 学习 编程 面试 spring 5

架构师训练营第 11 周课后练习

叶纪想

极客大学架构师训练营

微软最强 Python 自动化工具开源了!不用写一行代码!

星安果

Python 微软 自动化 自动化测试 playwright

《技术男征服美女HR》—Fiber、Coroutine和多线程那些事

太白上仙

Java 程序员 面试 后端 多线程

谷歌出钱又出人,保护开源安全迫在眉睫_开源_闫园园_InfoQ精选文章