提高开源软件安全的十点行动计划

近日，Linux基金会和开源软件安全基金会在37家公司的高管和许多美国官员提供的意见基础上，提出了一个10点行动计划，通过保护开源安全开发、改进漏洞发现和修复，缩短生态系统的补丁响应时间来提高开源软件供应链安全。

计划的10个要点如下：

1.安全培训——向所有人提供基线安全软件开发培训和认证。

2.风险评估——为前10000个（或更多）OSS组件建立一个公开的、供应商中立的、基于客观指标的风险评估仪表板。

3.数字签名——加速在软件版本中采用数字签名。

4.内存安全——通过替换非内存安全语言来消除许多漏洞的根本原因。

5.事件响应——建立OpenSSF开源安全事件响应团队，安全专家可以在响应漏洞的关键时刻介入以协助开源项目。

6.更好的扫描——通过先进的安全工具和专家指导，加速维护人员和专家发现新漏洞。

7.代码审计——每年对多达200个最关键的OSS组件进行一次第三方代码审查（以及任何必要的补救工作）。

8.数据共享——协调全行业的数据共享，以改进有助于确定最关键OSS组件的研究。

9.SBOM无处不在——改进SBOM推动采用的工具和培训。

10.改进的供应链——通过更好的供应链安全工具和最佳实践来增强10个最关键的OSS构建系统、包管理器和分发系统。

值得注意的是，该计划还提出未来两年需要大约1.5亿美元的安全资金，以快速推进针对该计划确定的十个主要问题的解决方案。

一部分OpenSSF社区参与企业共同承诺为实施该计划提供第一笔资金。这些公司是亚马逊、爱立信、谷歌、英特尔、微软和VMWare，认捐超过3000万美元。随着计划的发展，将确定下一步募集的资金。

这些都是OpenSSF社区成员对开源软件的现有投资之上追加的投资。对利益相关者的一项非正式民意调查显示，开源社区花费了超过1.1亿美元并雇用了近百名全职安全人员来专职保护开源软件。该计划进一步增加了这些投资。

参考链接：

https://8112310.fs1.hubspotusercontent-na1.net/hubfs/8112310/OpenSSF/White%20House%20OSS%20Mobilization%20Plan.pdf

（来源：@GoUpSec）