AI实践哪家强?来 AICon, 解锁技术前沿,探寻产业新机! 了解详情
写点什么

谷歌出钱又出人,保护开源安全迫在眉睫

  • 2022-05-16
  • 本文字数:1416 字

    阅读完需:约 5 分钟

谷歌出钱又出人,保护开源安全迫在眉睫

5 月 12 日,在美国白宫开源软件安全峰会上,谷歌与 Linux 基金会开源软件安全基金会 (OpenSSF)以及其他行业领袖共同讨论了开源安全举措,并宣布成立“开源维护团队”。这是一个由开发人员组成的团队,他们将致力于确保上游开源项目的安全,从收紧配置到部署更新。

谷歌着眼于开源软件安全

 

本次峰会是 1 月份白宫举办的关于开源安全讨论会议的后续活动,与会者在会上讨论了开源软件在行业中的关键作用,以及如何更好地解决开源维护人员在提高项目安全性时所面临的挑战。其中,主要挑战之一是缺乏资金和人力资源来预防、发现和修复系统性安全漏洞。

 

“鉴于数字基础设施在我们生活中的重要性,是时候开始让我们用处理物理基础设施相同的方式来思考它了。开源软件是大部分网络世界的结缔组织——它值得我们为道路和桥梁提供同样的关注和资金。”谷歌全球事务总裁兼首席法律官 Kent Walker 在 1 月份的会议后表示。

 

新的开源维护团队的规模尚未公开,但考虑到 Google 可支配的资源数量,规模可能会相当可观,此外,团队选择维护哪些开源项目也将取决于许多因素。

 

在财务方面,谷歌去年承诺在未来五年内投入 100 亿美元,通过各种计划和举措帮助改善网络安全,其中包括 1 亿美元用于支持 OpenSSF 等组织。此外,谷歌还创建了 Open Source Insights 项目,该项目为所有开源包提供依赖关系图。

 

“该项目分析开源包并提供依赖关系及其属性的详细图表。有了这些信息,开发人员可以了解他们的软件是如何组合在一起的,以及他们依赖关系变化的后果——正如 Log4j 所示,当受影响的依赖关系在依赖关系图中有很多层时,这可能会很严重。”谷歌一篇博客中介绍道。

开源软件生态确立的十大目标

 

去年,拜登政府发布了一项行政命令,以提高软件供应链的安全性,而本次安全峰会距离拜登政府发布改善软件供应链安全的行政命令刚好一周年的时间。

 

Linux 基金会和 OpenSSF 在本次峰会上呼吁,在两年内提供 1.5 亿美元的资金来解决十个主要的开源安全问题。包括:

 

  1. 安全教育:向所有人提供基线安全软件开发教育和认证。

  2. 风险评估:为前 0,000 个或更多)OSS 组件建立一个公开的、供应商中立的、基于客观指标的风险评估仪表板。

  3. 数字签名:加速在软件版本中采用数字签名。

  4. 内存安全:通过替换非内存安全语言来消除许多漏洞的根本原因。

  5. 事件响应:建立 OpenSSF 开源安全事件响应团队,安全专家可以在响应漏洞的关键时刻介入协助开源项目。

  6. 更好的扫描:通过高级安全工具和专家指导,加速维护人员和专家发现新漏洞。

  7. 代码审计:每年对多达 200 个最关键的 OSS 组件进行一次第三方代码审查(以及任何必要的补救工作)。

  8. 数据共享:协调全行业的数据共享,以改进有助于确定最关键 OSS 组件的研究。

  9. 软件物料清单 (SBOM):持续改进无处不在的 SBOM 工具和培训以推动采用。

  10. 改进的供应链:使用更好的供应链安全工具和最佳实践来增强 10 个最关键的开源软件构建系统、包管理器和分发系统。

关于 OpenSSF

 

开源软件安全基金会(OpenSSF)创立于 2020 年,旨在将广泛的社区领导者聚集到一起,建立具有针对性的计划和最佳实践,以提升开源软件的安全性。除谷歌之外,OpenSSF 的成员还包括 GitHub、Microsoft、Canonical、Cisco、Facebook、Intel、HP、腾讯、IBM、Red Hat、Samsung 等。

 

参考链接:

 

https://venturebeat.com/2022/05/12/google-open-source-maintenance-crew/?fr=operanews

 

https://duo.com/decipher/new-google-team-to-help-critical-open-source-projects-improve-security

2022-05-16 15:442438

评论

发布
暂无评论
发现更多内容

华为天气2023年度榜单重磅发布,以专业的角度回顾2023天气之最

最新动态

软件测试之我见

极客罗杰

深度解读:阿里云全球首发的容器计算服务 ACS 诞生背景、核心技术与应用场景

阿里巴巴云原生

阿里云 云原生 容器计算

API 参考与帮助内容:一站式开发与使用者支援

小万哥

程序人生 软件工程 后端开发 技术写作 API 文档

makefile | AI工程化部署

AIWeker

c AI AI工程化部署

一文读懂铭文赛道新手攻略

加密眼界

栅极驱动 IC 自举电路的设计与应用指南

芯动大师

WuBit:聚合BRC20资产交易,续写铭文市场新浪潮

股市老人

建设专业化运维服务团队必要性

太乙闲人

DevOps 运维‘

华尔街日报:企业数据中心 VS 云,会取得平衡

B Impact

2023华为主题年度榜单新鲜出炉!

最新动态

分布式云原生操作系统KubeWharf初探

雪雷

#云原生 KubeWharf

2023 年备受瞩目的向量数据库赛道盘点出炉

Zilliz

Milvus Zilliz AIGC

E3PO:开源平台助力360°视频传输方案模拟与优化

熬夜磕代码、

一文读懂SoBit 跨链桥教程

股市老人

牛市前夕,你打铭文了吗?

BlockChain先知

铭文热潮扩散,新手该如何参与

石头财经

简析SoBit 跨链桥图文教程

西柚子

AI助力后端开发的新趋势

Geek-yan

2023华为游戏中心年度榜单发布,这9款游戏不容错过!

最新动态

电商运营数据分析要做什么?

tbapi

电商数据分析 电商数据接口 电商数据采集 电商数据分析接口

简析SoBit 跨链桥图文教程

石头财经

一文读懂SoBit 跨链桥教程

BlockChain先知

展望2024的区块链世界,铭文将是绕不开的话题

西柚子

谷歌出钱又出人,保护开源安全迫在眉睫_开源_闫园园_InfoQ精选文章