信息來源：安全內(nèi)參

Linux基金會(huì)和開源安全基金會(huì)提出了一項(xiàng)為期兩年的近1.5億美元的投資計(jì)劃，以加強(qiáng)美國的開源安全。該計(jì)劃于當(dāng)?shù)貢r(shí)間5月12日在華盛頓特區(qū)舉行的開源軟件安全峰會(huì)II上宣布。來自37家公司的90名高管參加了此次活動(dòng)，他們代表了開源開發(fā)者和商業(yè)生態(tài)系統(tǒng)的各個(gè)領(lǐng)域。與會(huì)者還包括來自聯(lián)邦機(jī)構(gòu)的高管，包括國家安全委員會(huì)、網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局、國家標(biāo)準(zhǔn)與技術(shù)研究所、美國能源部以及管理和預(yù)算辦公室。

“我們在這里以一個(gè)可行的計(jì)劃做出回應(yīng)，因?yàn)殚_源是我們國家安全的一個(gè)關(guān)鍵組成部分，它是當(dāng)今軟件創(chuàng)新投資數(shù)十億美元的基礎(chǔ)。我們有共同的義務(wù)來升級我們的集體網(wǎng)絡(luò)安全，Linux基金會(huì)執(zhí)行董事吉姆·澤姆林 (Jim Zemlin) 在峰會(huì)上表示，該峰會(huì)是在喬·拜登總統(tǒng)執(zhí)政一周年之際舉行的。

OpenSSF的總經(jīng)理Behlendorf說：“這是一個(gè)有望覆蓋我們確定的1.5億美元的更大基金的開始。” “現(xiàn)在隨著計(jì)劃的發(fā)展，隨著我們找到節(jié)省資金的方法，隨著我們根據(jù)可用資金調(diào)整目標(biāo)，我們將根據(jù)機(jī)會(huì)調(diào)整規(guī)模?！?

IBM系統(tǒng)戰(zhàn)略和開發(fā)總經(jīng)理Jamie Thomas說：“我認(rèn)為這確實(shí)可以確保我們都了解開源的重要性、它使我們變得多么高效以及我們有義務(wù)考慮使用它的影響?！?

亞馬遜、愛立信、谷歌、英特爾、微軟和 VMWare 已經(jīng)承諾提供3000萬美元。更多的已經(jīng)在路上。亞馬遜網(wǎng)絡(luò)服務(wù) (AWS) 已經(jīng)承諾追加1000萬美元。

上一屆開源軟件安全峰會(huì)于2022年1月13日舉行，由白宮國家安全委員會(huì)牽頭。當(dāng)時(shí)在白宮新聞發(fā)布會(huì)上，OpenSSF總經(jīng)理布賴恩·貝倫多夫（Brian Behlendorf）說：“我想明確一點(diǎn)：我們不是來這里從政府那里籌集資金的。我們沒有預(yù)料到需要直接去政府為任何人獲得資金。”

確立的十大目標(biāo)

以下是開源行業(yè)致力于實(shí)現(xiàn)的十個(gè)目標(biāo)。

1、安全教育：向所有人提供基線安全軟件開發(fā)教育和認(rèn)證。

2、風(fēng)險(xiǎn)評估：為前0,000 個(gè)或更多）OSS 組件建立一個(gè)公開的、供應(yīng)商中立的、基于客觀指標(biāo)的風(fēng)險(xiǎn)評估儀表板。

3、數(shù)字簽名：加速在軟件版本中采用數(shù)字簽名。

4、內(nèi)存安全：通過替換非內(nèi)存安全語言來消除許多漏洞的根本原因。

5、事件響應(yīng)：建立OpenSSF開源安全事件響應(yīng)團(tuán)隊(duì)，安全專家可以在響應(yīng)漏洞的關(guān)鍵時(shí)刻介入?yún)f(xié)助開源項(xiàng)目。

6、更好的掃描：通過高級安全工具和專家指導(dǎo)，加速維護(hù)人員和專家發(fā)現(xiàn)新漏洞。

7、代碼審計(jì)：每年對多達(dá)200個(gè)最關(guān)鍵的OSS組件進(jìn)行一次第三方代碼審查（以及任何必要的補(bǔ)救工作）。

8、數(shù)據(jù)共享：協(xié)調(diào)全行業(yè)的數(shù)據(jù)共享，以改進(jìn)有助于確定最關(guān)鍵OSS組件的研究。

9、軟件物料清單 (SBOM)：持續(xù)改進(jìn)無處不在的SBOM工具和培訓(xùn)以推動(dòng)采用。

10、改進(jìn)的供應(yīng)鏈：使用更好的供應(yīng)鏈安全工具和最佳實(shí)踐來增強(qiáng)10個(gè)最關(guān)鍵的開源軟件構(gòu)建系統(tǒng)、包管理器和分發(fā)系統(tǒng)。

乍一看，這也是一項(xiàng)艱巨的任務(wù)。例如，作為所有開源項(xiàng)目中最重要的Linux 內(nèi)核核心的C語言存在許多漏洞。雖然內(nèi)存安全的Rust語言現(xiàn)在正在Linux中使用，但要在Linux超過2780萬行代碼中取代 C語言還需要幾年甚至幾十年的時(shí)間。事實(shí)上，很難確定是否會(huì)看到所有Linux的C代碼都被Rust取代。

開源安全公司Chainguard呼吁軟件行業(yè)對Sigstore進(jìn)行標(biāo)準(zhǔn)化。Sigstore使開發(fā)人員能夠安全地簽署軟件工件，例如發(fā)布文件、容器映像、二進(jìn)制文件、物料清單清單。這個(gè)Linux 基金會(huì)項(xiàng)目得到了谷歌、紅帽和普渡大學(xué)的支持。

投資計(jì)劃

Linux基金會(huì)和OpenSSF已經(jīng)為1.5億美元確定了10個(gè)投資流，將在兩年內(nèi)分?jǐn)偂?

*數(shù)字簽名將在第一年之后獲得一次性1000萬美元的投資推動(dòng)。

根據(jù)OpenSSF執(zhí)行董事布賴恩·貝倫多夫 (Brian Behlendorf) 的說法，該計(jì)劃是“匯集一系列關(guān)于那里出現(xiàn)的問題以及我們可以采取哪些措施來解決問題的想法和原則”。他補(bǔ)充說，確定的10個(gè)投資領(lǐng)域代表了“地面上的10面旗幟，作為開始的基礎(chǔ)”。

峰會(huì)“致力于制定更廣泛的社區(qū)可以采用的行動(dòng)計(jì)劃，其中包括10個(gè)專注于加強(qiáng)軟件供應(yīng)鏈的開源活動(dòng)流的綜合投資組合，”軟件供應(yīng)鏈平臺，DevOps公司JFrog開發(fā)人員關(guān)系副總裁Stephen Chin受邀參加峰會(huì)。Chin表示，雖然開源一直被視為現(xiàn)代化的種子，但最近軟件供應(yīng)鏈攻擊的興起表明，需要一個(gè)更強(qiáng)化的流程來驗(yàn)證開源——源存儲庫。

“我們相信，只有為OSS項(xiàng)目提供與企業(yè)可用的相同工具和服務(wù)，開源安全才會(huì)成功。對開源項(xiàng)目的自動(dòng)化工具和高質(zhì)量安全數(shù)據(jù)庫的訪問至關(guān)重要，”他補(bǔ)充道。

無處不在的SBOM是重中之重

在過去一年中獲得突出的投資流之一是軟件材料清單或SBOM。該計(jì)劃詳細(xì)說明了第一年在該領(lǐng)域的320萬美元投資，而后一年的金額尚未確定。

在峰會(huì)上宣布的計(jì)劃承認(rèn)，企業(yè)通常沒有他們部署的軟件資產(chǎn)的清單，也沒有關(guān)于他們所獲得的軟件中的組件的數(shù)據(jù)。當(dāng)他們考慮購買新軟件時(shí)，企業(yè)通常無法衡量其組件包含的風(fēng)險(xiǎn)，包括已知漏洞。

“SBOM是為開源供應(yīng)鏈漏洞提供透明度的最關(guān)鍵部分之一。今天的挑戰(zhàn)是，構(gòu)建端到端的SBOM就像不穩(wěn)定地堆疊人工構(gòu)建且易受更改影響的Jenga塔。要成功，標(biāo)準(zhǔn)和工具需要像樂高積木一樣自動(dòng)化和集成，無縫堆疊和集成，”Chin說。

在他們的計(jì)劃中，Linux基金會(huì)和OpenSSF表示，多個(gè)行業(yè)已將SBOM確定為解決開源安全問題的基本構(gòu)建塊。但要適當(dāng)應(yīng)對挑戰(zhàn)，SBOM的采用必須廣泛、標(biāo)準(zhǔn)化和準(zhǔn)確?！巴ㄟ^專注于工具和宣傳，我們可以消除各地SBOM的生成、消費(fèi)和整體采用的障礙。我們可以改善整個(gè)開源生態(tài)系統(tǒng)的安全態(tài)勢：生產(chǎn)者、消費(fèi)者和維護(hù)者，”這些組織表示

他們建議為開發(fā)人員團(tuán)隊(duì)提供資源，以改進(jìn)工具并將SBOM融入所有主要編程語言中最流行的軟件構(gòu)建工具和基礎(chǔ)設(shè)施。

Chin表示，專注于提升“10 個(gè)最關(guān)鍵的OSS構(gòu)建系統(tǒng)、包管理器和分發(fā)系統(tǒng)，以及更好的供應(yīng)鏈安全工具和最佳實(shí)踐，將有助于解決易受攻擊的軟件存儲庫——企業(yè)軟件的最大攻擊媒介”。