谷歌出钱又出人,保护开源安全迫在眉睫

简介: 5 月 12 日,在美国白宫开源软件安全峰会上,谷歌与 Linux 基金会、开源软件安全基金会 (OpenSSF)以及其他行业领袖共同讨论了开源安全举措,并宣布成立“开源维护团队”。这是一个由开发人员组成的团队,他们将致力于确保上游开源项目的安全,从收紧配置到部署更新。

5 月 12 日,在美国白宫开源软件安全峰会上,谷歌与 Linux 基金会、开源软件安全基金会 (OpenSSF)以及其他行业领袖共同讨论了开源安全举措,并宣布成立“开源维护团队”。这是一个由开发人员组成的团队,他们将致力于确保上游开源项目的安全,从收紧配置到部署更新。

谷歌着眼于开源软件安全

本次峰会是 1 月份白宫举办的关于开源安全讨论会议的后续活动,与会者在会上讨论了开源软件在行业中的关键作用,以及如何更好地解决开源维护人员在提高项目安全性时所面临的挑战。其中,主要挑战之一是缺乏资金和人力资源来预防、发现和修复系统性安全漏洞。

“鉴于数字基础设施在我们生活中的重要性,是时候开始让我们用处理物理基础设施相同的方式来思考它了。开源软件是大部分网络世界的结缔组织——它值得我们为道路和桥梁提供同样的关注和资金。”谷歌全球事务总裁兼首席法律官 Kent Walker 在 1 月份的会议后表示。

新的开源维护团队的规模尚未公开,但考虑到 Google 可支配的资源数量,规模可能会相当可观,此外,团队选择维护哪些开源项目也将取决于许多因素。

在财务方面,谷歌去年承诺在未来五年内投入 100 亿美元,通过各种计划和举措帮助改善网络安全,其中包括 1 亿美元用于支持 OpenSSF 等组织。此外,谷歌还创建了 Open Source Insights 项目,该项目为所有开源包提供依赖关系图。

“该项目分析开源包并提供依赖关系及其属性的详细图表。有了这些信息,开发人员可以了解他们的软件是如何组合在一起的,以及他们依赖关系变化的后果——正如 Log4j 所示,当受影响的依赖关系在依赖关系图中有很多层时,这可能会很严重。”谷歌一篇博客中介绍道。

开源软件生态确立的十大目标

去年,拜登政府发布了一项行政命令,以提高软件供应链的安全性,而本次安全峰会距离拜登政府发布改善软件供应链安全的行政命令刚好一周年的时间。

Linux 基金会和 OpenSSF 在本次峰会上呼吁,在两年内提供 1.5 亿美元的资金来解决十个主要的开源安全问题。包括:

安全教育:向所有人提供基线安全软件开发教育和认证。

风险评估:为前 0,000 个或更多)OSS 组件建立一个公开的、供应商中立的、基于客观指标的风险评估仪表板。

数字签名:加速在软件版本中采用数字签名。

内存安全:通过替换非内存安全语言来消除许多漏洞的根本原因。

事件响应:建立 OpenSSF 开源安全事件响应团队,安全专家可以在响应漏洞的关键时刻介入协助开源项目。

更好的扫描:通过高级安全工具和专家指导,加速维护人员和专家发现新漏洞。

代码审计:每年对多达 200 个最关键的 OSS 组件进行一次第三方代码审查(以及任何必要的补救工作)。

数据共享:协调全行业的数据共享,以改进有助于确定最关键 OSS 组件的研究。

软件物料清单 (SBOM):持续改进无处不在的 SBOM 工具和培训以推动采用。

改进的供应链:使用更好的供应链安全工具和最佳实践来增强 10 个最关键的开源软件构建系统、包管理器和分发系统。

关于 OpenSSF

开源软件安全基金会(OpenSSF)创立于 2020 年,旨在将广泛的社区领导者聚集到一起,建立具有针对性的计划和最佳实践,以提升开源软件的安全性。除谷歌之外,OpenSSF 的成员还包括 GitHub、Microsoft、Canonical、Cisco、Facebook、Intel、HP、腾讯、IBM、Red Hat、Samsung 等。

参考链接:

https://venturebeat.com/2022/05/12/google-open-source-maintenance-crew/?fr=operanews

https://duo.com/decipher/new-google-team-to-help-critical-open-source-projects-improve-security

目录
相关文章
|
Web App开发 流计算
一日一技:为什么说开源可能导致垄断
一日一技:为什么说开源可能导致垄断
121 0
|
监控 IDE 算法
Google 的工程实践对初创公司有用吗?
“尊重工艺”是 Instawork 工程团队的一项指导原则。它鼓励我们以学习的态度去看待软件的工艺。为了这个目的,我在去年建立了“工程图书俱乐部”,以帮助我们从行业中的优秀企业和优秀人才汲取经验。我们的阅读的第一本图书是 Software Engineering at Google(暂无中文版:《谷歌的软件工程》)。我们很想了解谷歌是如何以巨大的规模进行软件开发的:数十亿行的代码,成千上万的开发人员。他们的任何做法是否适合像我们这样的小型团队?
119 0
Google 的工程实践对初创公司有用吗?
|
分布式计算 Cloud Native 关系型数据库
资本看开源:低估了云的发展,导致我们我们极大地低估了HarshiCorp等开源厂商的潜力
人生就像滚雪球,最重要之事是发现湿雪和长长的山坡-巴菲特开源赛道是长坡,但也有厚雪近年来,在资本市场,开源商业公司备受追捧,阿里巴巴以9千万欧元收购Flink母公司, Kafka母公司Confluent上市、市值114美金,DataBricks完成 10 亿美金H轮融资,国内PingCAP完成估值30亿美金的新一轮融资。可以说几乎每一周都有来自开源圈投融资的大新闻。那么资本为何如此重视开源呢?们请
509 0
|
存储 分布式计算 监控
揭秘全球最大网站 Facebook 背后应用软件
2010年6月,Google公布全球Top 1000网站。Facebook独占鳌头。 以Facebook现在的经营规模,诸多传统服务器的技术均将崩溃或根本无法支撑。那么面对5亿的活跃用户,Facebook的工程师们又将如何让网站平稳运转呢?这篇文章将展示Facebook的工程师完成这个艰巨任务所用到的一系列软件。
1390 0
|
Oracle 关系型数据库 应用服务中间件
下一篇
无影云桌面