确保开源软件供应链的安全是一件大事。去年，拜登政府发布了一项行政命令，以提高软件供应链的安全性。这是在Colonial Pipeline勒索软件攻击关闭了整个东南部的天然气和石油运输以及SolarWinds软件供应链攻击之后发生的。确保软件安全成为重中之重。

作为回应，开源安全基金会（OpenSSF）和Linux基金会起来迎接这一安全挑战。现在，他们呼吁在两年内提供1.5亿美元的资金，以修复十个主要的开源安全问题。

美国政府将不会为这些变化支付费用。亚马逊、爱立信、Google、英特尔、微软和VMWare已经认捐了3000万美元。更多的厂商已经开始行动，例如亚马逊网络服务（AWS）已经认捐了额外的1000万美元。

以下是开源产业致力于实现的十个目标：

安全教育：向所有人提供基线安全软件开发教育和认证。

风险评估：为前10000个（或更多）开放源码软件组件建立一个公共的、供应商中立的、基于客观计量的风险评估仪表板。

数字签名：加快软件发布中数字签名的采用。

内存安全：通过替换非内存安全的语言，消除许多漏洞的根源。

事故响应：建立OpenSSF开源安全事件响应小组，安全专家可以在应对漏洞的关键时刻介入，协助开源项目。

扫描技术：通过先进的安全工具和专家指导，加速维护者和专家对新漏洞的发现。

代码审计：每年一次对多达200个最关键的开放源码软件组件进行第三方代码审查（以及任何必要的修复工作）。

数据共享：协调全行业的数据共享，以改善有助于确定最关键的开放源码软件组件的研究。

软件材料清单（SBOMs）：推动改进SBOM工具和培训的采用。

改进供应链：通过更好的供应链安全工具和最佳实践，加强10个最关键的开源软件构建系统、软件包管理器和分销系统。

了解更多：

https://8112310.fs1.hubspotusercontent-na1.net/hubfs/8112310/OpenSSF/White%20House%20OSS%20Mobilization%20Plan.pdf?hsCtaTracking=3b79d59d-e8d3-4c69-a67b-6b87b325313c%7C7a1a8b01-65ae-4bac-b97c-071dac09a2d8

标签： United States 白宫牵头与OpenSSF和Linux基