圖片來源: 

OpenSSF

Linux基金會(Linux Foundation)與開源安全基金會(Open Source Software Security Foundation,OpenSSF)上周召開了開源軟體安全高峰會 II,集結來自37家業者的逾90名高階主管,以及來自美國國家安全委員會(NSC)、美國網路安全及基礎設施安全局(CISA)、美國國家標準暨技術研究院(NIST)、白宮網路主任辦公室(ONCD)、能源部(DOE)與美國行銷管理和預算局(OMB)的官員,宣布彼此已達到如何改善開源軟體安全的重要共識,並將在未來兩年內投入1.5億美元以解決十大主要問題。

在這1.5億美元的經費中,已由Amazon、Ericsson、Google、微軟及VMWare共同認捐了超過3,000萬美元,作為此一計畫的前期資金。

在此一高峰會上達到共識的開源軟體十大問題則分別是安全教育、風險評估、數位簽章、記憶體安全、資安應變、強化掃描能力、程式碼稽核、資料分享、軟體物料清單(SBOM),以及供應鏈改善。

解決上述問題的三大目標為確保開源軟體的安全生產,改善漏洞的發現及整治,以及縮短整個生態體系的修補應變時間。

這兩大開源基金會指出,它們希望可讓安全軟體開發教育及認證成為開源碼開發者的新常態,替最熱門的1萬個開源碼元件建立一個公開且中立的風險評估儀表板,推動開源軟體的數位簽章,藉由安全的記憶體語言來減少記憶體漏洞;改善漏洞掃描技術,招攬資安專家成立自願軍以於重要時刻協助開源專案,每年針對200個熱門開源元件由第三方執行程式碼審查,分享資訊以確認最關鍵的開源軟體;推動軟體物料清單的採用並改善相關工具,以更好的安全供應鏈安全工具及最佳實踐來加強10個最關鍵的開源安全建置系統、套件管理系統以及軟體散布系統。

熱門新聞

Advertisement