写点什么

谷歌出钱又出人,保护开源安全迫在眉睫

  • 2022-05-16
  • 本文字数:1416 字

    阅读完需:约 5 分钟

谷歌出钱又出人,保护开源安全迫在眉睫

5 月 12 日,在美国白宫开源软件安全峰会上,谷歌与 Linux 基金会开源软件安全基金会 (OpenSSF)以及其他行业领袖共同讨论了开源安全举措,并宣布成立“开源维护团队”。这是一个由开发人员组成的团队,他们将致力于确保上游开源项目的安全,从收紧配置到部署更新。

谷歌着眼于开源软件安全

 

本次峰会是 1 月份白宫举办的关于开源安全讨论会议的后续活动,与会者在会上讨论了开源软件在行业中的关键作用,以及如何更好地解决开源维护人员在提高项目安全性时所面临的挑战。其中,主要挑战之一是缺乏资金和人力资源来预防、发现和修复系统性安全漏洞。

 

“鉴于数字基础设施在我们生活中的重要性,是时候开始让我们用处理物理基础设施相同的方式来思考它了。开源软件是大部分网络世界的结缔组织——它值得我们为道路和桥梁提供同样的关注和资金。”谷歌全球事务总裁兼首席法律官 Kent Walker 在 1 月份的会议后表示。

 

新的开源维护团队的规模尚未公开,但考虑到 Google 可支配的资源数量,规模可能会相当可观,此外,团队选择维护哪些开源项目也将取决于许多因素。

 

在财务方面,谷歌去年承诺在未来五年内投入 100 亿美元,通过各种计划和举措帮助改善网络安全,其中包括 1 亿美元用于支持 OpenSSF 等组织。此外,谷歌还创建了 Open Source Insights 项目,该项目为所有开源包提供依赖关系图。

 

“该项目分析开源包并提供依赖关系及其属性的详细图表。有了这些信息,开发人员可以了解他们的软件是如何组合在一起的,以及他们依赖关系变化的后果——正如 Log4j 所示,当受影响的依赖关系在依赖关系图中有很多层时,这可能会很严重。”谷歌一篇博客中介绍道。

开源软件生态确立的十大目标

 

去年,拜登政府发布了一项行政命令,以提高软件供应链的安全性,而本次安全峰会距离拜登政府发布改善软件供应链安全的行政命令刚好一周年的时间。

 

Linux 基金会和 OpenSSF 在本次峰会上呼吁,在两年内提供 1.5 亿美元的资金来解决十个主要的开源安全问题。包括:

 

  1. 安全教育:向所有人提供基线安全软件开发教育和认证。

  2. 风险评估:为前 0,000 个或更多)OSS 组件建立一个公开的、供应商中立的、基于客观指标的风险评估仪表板。

  3. 数字签名:加速在软件版本中采用数字签名。

  4. 内存安全:通过替换非内存安全语言来消除许多漏洞的根本原因。

  5. 事件响应:建立 OpenSSF 开源安全事件响应团队,安全专家可以在响应漏洞的关键时刻介入协助开源项目。

  6. 更好的扫描:通过高级安全工具和专家指导,加速维护人员和专家发现新漏洞。

  7. 代码审计:每年对多达 200 个最关键的 OSS 组件进行一次第三方代码审查(以及任何必要的补救工作)。

  8. 数据共享:协调全行业的数据共享,以改进有助于确定最关键 OSS 组件的研究。

  9. 软件物料清单 (SBOM):持续改进无处不在的 SBOM 工具和培训以推动采用。

  10. 改进的供应链:使用更好的供应链安全工具和最佳实践来增强 10 个最关键的开源软件构建系统、包管理器和分发系统。

关于 OpenSSF

 

开源软件安全基金会(OpenSSF)创立于 2020 年,旨在将广泛的社区领导者聚集到一起,建立具有针对性的计划和最佳实践,以提升开源软件的安全性。除谷歌之外,OpenSSF 的成员还包括 GitHub、Microsoft、Canonical、Cisco、Facebook、Intel、HP、腾讯、IBM、Red Hat、Samsung 等。

 

参考链接:

 

https://venturebeat.com/2022/05/12/google-open-source-maintenance-crew/?fr=operanews

 

https://duo.com/decipher/new-google-team-to-help-critical-open-source-projects-improve-security

2022-05-16 15:442107

评论

发布
暂无评论
发现更多内容

Java面试题超详细整理《Spring篇》,Tencent后台开发Java岗二面

Java 程序员 后端

java面试题,mybatis原理和实现机制

Java 程序员 后端

Java面试屡碰壁,一气之下狂刷高分宝典,一月之后拿到字节offer

Java 程序员 后端

【架构训练营】毕业设计

zclau

Kubernetes 常用命令大全,震撼来袭免费下载

Java 程序员 后端

模块二作业

小朱

架构实战营

【架构训练营】毕业总结

zclau

架构实战营 毕业总结

脉醉

JVM篇:对象的深度剖析,mybatis入门程序

Java 程序员 后端

Kubernetes任务调用Job与CronJob及源码分析(1)

Java 程序员 后端

Java面试题超详细整理《多线程篇》,mongodb教程导入外部数据

Java 程序员 后端

JUnit5学习之三:Assertions类,java微服务架构训练营

Java 程序员 后端

kubebuilder实战之三:基础知识速览,mybatis运行原理步骤

Java 程序员 后端

Java面试经,nginx解决跨域原理

Java 程序员 后端

Java高级特性之 IO流,java面试题高级

Java 程序员 后端

JMM - Java 内存模型,java读写锁源码分析

Java 程序员 后端

JVM内存溢出分析:堆内存溢出+虚拟机,BTAJ大厂最新面试题汇集

Java 程序员 后端

Kafka-on-Pulsar 的前世今生,新秀 Pulsar 到底好在哪?

Java 程序员 后端

架构营模块二作业

GTiger

架构实战营

Java高手是怎样炼成的?阿里P8技术大牛这份手写笔记告诉你答案!

Java 程序员 后端

Java面试被MySQL问哭了,面试官一个连环炮提问,我一个都讲不清

Java 程序员 后端

Java高级特性之 IO流(1),三面蚂蚁金服(交叉面)定级阿里P6

Java 程序员 后端

Jedis入门教程,java入门课程百度网盘

Java 程序员 后端

JUnit5学习之一:基本操作,菜鸟教程java在线编辑器下载

Java 程序员 后端

JVM总体概述,java高级开发面试经验

Java 程序员 后端

Kotlin之DSL,java面试写代码

Java 程序员 后端

架构 3 期模块二作业:下微信朋友圈的高性能复杂度

渐行渐远

架构实战营

模块二作业

小鹿

JDK的前世今生:细数 Java5 - 15 的那些经典特性

Java 程序员 后端

Kafka性能调优实战:同等资源配置性能提升20几倍的秘诀

Java 程序员 后端

架构设计流程

天天向上

架构实战营

谷歌出钱又出人,保护开源安全迫在眉睫_开源_闫园园_InfoQ精选文章