Linux基金會昨(3)日宣布成立開源安全基金會(OpenSSF),集結跨業界廠商,包括微軟、IBM、Google、GitHub等,以強化開源碼軟體安全性。

OpenSSF集結了業界主要開源安全倡議及背後的組織,包括Linux基金會因應2014年Heartbleed漏洞,而成立的核心基礎架構倡議(Core Infrastructure Initiative), GitHub開源安全聯盟(Open Source Security Coalition, CII),以及業界廠商。創會治理委員會成員包括GitHub、Google、IBM、RedHat、微軟、摩根大通、OWASP(Open Web Application Security Project)基金會等,其他創會成員還包括VMWare、英特爾、抓蟲賞金平台Hackerone、GitLab等。

Linux基金會指出,開源軟體已普遍用於資料中心、消費裝置及服務上。基於其開發流程,開源軟體來到終端用戶之前,有一個參與者及相依性組成的鏈結,提供用戶或企業安全的人,必須要能了解及驗證這些相依性鏈結的安全性。

Linux 基金會主任Jim Zemlin指出,確保開源軟體安全是最重要任務,需要所有人的合作,而OpenSSF將提供真正跨產業協同的論壇。

組織方面,OpenSSF包含治理委員會、技術顧問委員會、以及不同工作小組和專案的主管單位。OpenSSF計畫代管多個和安全相關的開源技術專案,所有專案及資源都會置於GitHub上對外開放。

微軟表示該公司多年來已投入多項開源安全計畫,加入OpenSSF後,已經積極展開辨識開源專案安全威脅、提供安全工具、安全最佳實作及揭露漏洞四大領域工作。

Google則表示,他們目前的重點領域包括共享安全實作自動化的schema及metadata、提供相依性管理及風險評估的工具、開源軟體安全供應鏈工具如Tekton專案、回應開源專案漏洞,以及開發商身份管理系統等。


熱門新聞

Advertisement