开源软件 (OSS) 曾经是开发领域的一个小众部分,现在已经无处不在。 这种增长对开源社区来说是极好的。 然而,随着 OSS 使用量的增加,对安全性的担忧也随之增加。 尤其是在关键任务应用程序中——例如医疗设备、汽车、太空飞行和核设施——确保开源技术的安全性是重中之重。 任何个人实体,无论是开发者、组织还是政府,都无法单独解决这个问题。 当他们聚集在一起合作时,才有可能实现最佳结果。
开源安全基金会 (OpenSSF) 成立旨在促进这种合作。 用 OpenSSF 自己的话来描述它最合适:
OpenSSF 是一个跨行业合作组织,汇集了各领域的领导者,通过建立一个更广泛的社区,并通过有针对性的举措和最佳实践来提高开源软件的安全性。
愿景
OpenSSF 的技术愿景是以默认方式主动处理安全问题。 开发者理所当然地是这一愿景的核心。 OpenSSF 致力于帮助开发者学习安全开发实践,并通过他们日常使用的工具自动接收有关这些实践的指导。 识别出安全问题的研究人员可以将此信息向后发送到供应链,以便有人可以快速解决该问题。 鼓励审计员和监管机构制定可以通过工具轻松实施的安全策略,社区成员提供有关他们定期使用和测试的组件的信息。
动员计划
OpenSSF 根据开源开发者和美国联邦机构领导人的意见起草了一份动员计划。 最终形成了一套旨在提高开源软件弹性和安全性的高效行动。 根据该计划,已确定了 10 个投资方向,包括安全教育、风险评估、内存安全和供应链改进。 虽然对这些问题的讨论很广泛,但 OpenSSF 是一个收集这些问题并优先考虑它们而不是其他问题的平台,以确保安全的开源生态系统。
工作组
由于这 10 个投资方向非常多样化,因此 OpenSSF 分为多个工作组。 这种策略允许各个团队专注于特定的专业领域并向前发展,而不会陷入更普遍的担忧中。 这些工作组为每个人提供了机会: 开发者可以为安全工具做出贡献,维护人员可以处理软件存储库,其他人可以通过教育开发者最佳实践、识别开源项目的指标或识别和保护构成 OSS 生态系统核心的关键项目来做出贡献。
行业参与
多家软件供应商已各自成为 OpenSSF 的成员。 这些供应商是 IT 生态系统中的重要参与者,范围从云服务提供商和操作系统供应商到托管 OSS 存储库、创建安全工具、创建计算硬件的公司等等。 这样做的好处是从各种来源获取其他人可能不知道的输入,然后协同解决这些问题。
参与其中
您可以根据您的专业知识和您可以为此投入的时间,通过多种方式参与 OpenSSF 计划。
- 注册他们的 邮件列表 以关注最新的更新和讨论,并使用 OpenSSF 会议更新您的日历。
- 如果您正在寻找更具互动性的沟通,请考虑加入他们的 Slack 频道。
- 在其 YouTube 频道 上浏览他们过去的会议。
- 组织可以考虑成为 OpenSSF 的 成员。
- 开发者可以快速查找他们正在处理的软件项目的 GitHub 存储库。
- 最重要的是,考虑加入您选择的工作组并发挥作用。
结论
安全行业正在发展,需要开源社区的积极参与。 如果您刚入门或希望专门从事安全领域,OpenSSF 提供了一个平台,可以在经验丰富的安全领域同行的指导下,解决安全领域中的正确问题。
1 条评论