在近日(美国当地工夫 2022 年 1 月 13 日)于华盛顿举办的白宫开源平安峰会上,来自开源软件畛域的科技巨头、开发人员们以及商业生态系统的重要搭档,与美国联邦机构的领导人和专家们,独特就“开源软件供应链中存在的挑战以及如何升高危险和加强弹性”议题开展探讨。
作为 Linux 基金会与公共部门组织单干历史上的一个重要时刻,本次会议上,Linux 基金会和开源平安基金会(OpenSSF)代表数百个社区和我的项目,带来了他们在个体网络安全方面做所的致力,同时也分享了他们与公共及私营治理部门单干的契机。
会上,Linux 基金会执行董事 Jim Zemlin 示意:“对要害基础设施的保护措施包含爱护运行其银行、能源、国防、医疗保健和技术零碎的软件。当一个被宽泛应用的开源组件或应用程序的安全性受到侵害时,每个公司、每个国家乃至每个社区都会受到影响。这并非美政府独有的问题,而是全球性问题。咱们赞叹政府在促成更加关注开源软件平安方面施展的领导作用,并期待与寰球生态系统单干获得停顿。值得一提的是,OpenSSF 是咱们应答开源软件供应链挑战的要害动作,咱们的工作失去了会议上其余参与者的认可,并成为进一步单干的根底,这让人十分振奋。”
开源平安基金会执行董事 Brian Behlendorf 评论称:“在明天的会议上,咱们分享了一系列要害的机会,在这些机会中,只有每个人都有足够的承诺,咱们就能够对爱护和改善咱们软件供应链平安所需的要害致力产生实质性的影响。开源生态系统须要共同努力,进一步进行网络安全钻研、培训、剖析,并在修复要害开源软件我的项目中发现的缺点。这些打算失去了踊跃的反馈,有越来越多的个体承诺采取有意义的口头。在最近的 Log4j 危机之后,公共和私人单干的工夫比以往任何时候都更紧迫,以确保开源软件组件和它们所流经的软件供应链展现出最高的网络安全完整性。”
Brian 补充称:“通过咱们最佳实际工作组、确定要害我的项目工作组、指标和记分卡、Sigstore 我的项目以及其余行将发表的工作,OpenSSF 已对明天会议中探讨的许多要害畛域产生了影响。咱们已做好进一步致力的筹备,并欢送这次对话和进一步对话可能带来的所有新的参与者和资源。”
自从去年 12 月份 Log4j 曝出”惊天“破绽以来,寰球多个国家政府以及科技巨头纷纷对安全漏洞所带来的影响进行关注并反思,同时对于开源软件的安全性问题的探讨也变得越来越紧迫。