开源软件是周围最重要的软件类型之一,几乎可以为每个人使用,并在跨用例中使用。因此,加强此类软件背后的安全参数至关重要,因为它们不仅是对它们的广泛利用,而且在特定目的的公司和企业的类型上也是如此。
在上周在华盛顿特区举行的会议中,一些最著名的科技巨头非常重视这一概念。该会议是通过开源安全基金会(OPENSSF)与Linux Foundation一起举行的,在开源软件安全性中强调了这一点。该技术巨头说,他们在供应链目的中使用的开源软件背后的安全性,这已成为这类公司最重要的焦点之一,例如Microsoft,Amazon,Google,Google,VMware,Intel,Intel,Ericsson,以及近29个。
由10分组成的软件供应链安全动员计划创造了一笔高达3000万美元的资金,以帮助加强开源软件中的安全性。它旨在改善和增强各个方面的软件,例如漏洞检测,源代码生产安全性,对特定攻击的补救,更短的补丁时间等。该计划将包括完整的SBOM或软件材料清单,以帮助该行业的所有各种技术公司都见证了公司技术堆栈中使用的全部软件。
会议本身是1月份白宫坐下的后续行动。log4shell零日漏洞,击中了Apache的Log4J库,将全球多种不同的设备处于风险上。 Log4J库是一个基于Java的伐木实用程序,用于许多不同的设备和业务,其中主要是亚马逊的AWS,使该脆弱性变得相当可怕,甚至可能甚至可能仍然有未解决的问题。
除了提高资本和对开源软件安全性的支持外,上述计划还将尝试增强围绕此类实践的固有知识。虽然开源软件绝对有用且必要,但其背后的安全性通常不存在。在这里,SSCSM计划试图通过安全教育来解决问题,消除非记忆安全的编程语言,例如COBOL和C+,以及对200多个最有问题的开放源代码软件产品的第三方代码评论的年度会议。
Google的云部门宣布颁布开源维护人员,从本质上讲,它将为上游维护者提供智能工程师的支持,以加强开源社区的整体安全性。该计划背后的主要动力是在发生前log4shell见证的漏洞并阻止漏洞,从而保护美国免受恶意软件攻击和企业免受剥削软件的侵害。
Openssf的执行董事Brian Behlendorf解释说:“我们在这里共同努力的事情正在融合一系列的想法和原则,这些想法和原则是对那里的内容以及我们可以采取的措施来解决它。我们制定的计划代表了地面上的10个旗帜,因为我们渴望从计划中获得进一步的投入和承诺,以使我们从计划中获得进一步的投入和承诺。”
