Linux基金会昨(3)日宣布成立开源安全基金会(OpenSSF),集结跨业界厂商,包括微软、IBM、Google、GitHub等,以强化开源软件安全性。
OpenSSF集结了业界主要开源安全倡议及背后的组织,包括Linux基金会因应2014年Heartbleed漏洞,而成立的核心基础架构倡议(Core Infrastructure Initiative),GitHub开源安全联盟(Open Source Security Coalition, CII),以及业界厂商。创会治理委员会成员包括GitHub、Google、IBM、RedHat、微软、摩根大通、OWASP(Open Web Application Security Project)基金会等,其他创会成员还包括VMWare、英特尔、抓虫赏金平台HackOne、GitLab等。
Linux基金会指出,开源软件已普遍用于数据中心、消费设备及服务上。基于其开发流程,开源软件来到终端用户之前,有一个参与者及依赖性组成的链结,提供用户或企业安全的人,必需要能了解及验证这些依赖性链结的安全性。
Linux基金会主任Jim Zemlin指出,确保开源软件安全是最重要任务,需要所有人的合作,而OpenSSF将提供真正跨产业协同的论坛。
组织方面,OpenSSF包含治理委员会、技术顾问委员会、以及不同工作小组和项目的主管单位。OpenSSF计划托管多个和安全相关的开源技术项目,所有项目及资源都会置于GitHub上对外开放。
微软表示该公司多年来已投入多项开源安全计划,加入OpenSSF后,已经积极展开识别开源项目安全威胁、提供安全工具、安全最佳实例及披露漏洞四大领域工作。
Google则表示,他们目前的重点领域包括共享安全实例自动化的schema及metadata、提供依赖性管理及风险评估的工具、开源软件安全供应链工具如Tekton项目、回应开源项目漏洞,以及开发商身份管理系统等。