Linux、GitHub、GitLab、Google 聯(lián)合起來(lái)了！

時(shí)間：2020-08-08 10:42:11

關(guān)鍵字： linuxgithubgitlabgoogle

手機(jī)看文章

掃描二維碼
隨時(shí)隨地手機(jī)看文章

[導(dǎo)讀]如今，開(kāi)源已成為全球技術(shù)應(yīng)用程序的基礎(chǔ)架構(gòu)。根據(jù)Gartner的調(diào)查，有99％的公司在其計(jì)算機(jī)系統(tǒng)中使用開(kāi)源軟件。同時(shí)，開(kāi)源的安全風(fēng)險(xiǎn)一直是許多公司和開(kāi)發(fā)人員面臨的問(wèn)題。根據(jù)安全公司W(wǎng)hiteSource的先前報(bào)告，在過(guò)去一年中，開(kāi)放源漏洞的數(shù)量已破記錄，同比增長(zhǎng)近50％。

如今，開(kāi)源已成為全球技術(shù)應(yīng)用程序的基礎(chǔ)架構(gòu)。根據(jù)Gartner的調(diào)查，有99%的公司在其計(jì)算機(jī)系統(tǒng)中使用開(kāi)源軟件。同時(shí)，開(kāi)源的安全風(fēng)險(xiǎn)一直是許多公司和開(kāi)發(fā)人員面臨的問(wèn)題。根據(jù)安全公司W(wǎng)hiteSource的先前報(bào)告，在過(guò)去一年中，開(kāi)放源漏洞的數(shù)量已破記錄，同比增長(zhǎng)近50%。

解決開(kāi)源的安全問(wèn)題迫在眉睫，全球最大的代碼托管平臺(tái) GitHub 便一直在努力，其官方表示，開(kāi)源的安全性對(duì)軟件的未來(lái)至關(guān)重要，在 2019 年 GitHub 收購(gòu)了 Dependabot 和 Semmle，并將這些安全工具免費(fèi)提供給公共存儲(chǔ)庫(kù)，同時(shí)，GitHub 還通過(guò)創(chuàng)建 GitHub Security Lab 和 Open Source Security Coalition 來(lái)支持開(kāi)源開(kāi)發(fā)者和維護(hù)者的安全工作，截至目前，這些舉措已經(jīng)幫助在開(kāi)源軟件中發(fā)現(xiàn)了 120 多個(gè) CVE。

現(xiàn)在，我們?cè)诒Ｗo(hù)開(kāi)源安全性上迎來(lái)了更強(qiáng)有力的保障。

近日，Linux 基金會(huì)聯(lián)合包括微軟與 GitHub、Google、IBM、紅帽(Red Hat)、英特爾(Intel)、VMware、優(yōu)步(Uber)等在內(nèi)的多家軟硬件企業(yè)一起，共同成立了 Open Source Security Foundation(開(kāi)源安全基金會(huì)，簡(jiǎn)稱(chēng) OpenSSF)，OpenSSF 官方表示，這是一項(xiàng)跨行業(yè)的協(xié)作，將行業(yè)領(lǐng)導(dǎo)者們聚集在一起，通過(guò)建立具有針對(duì)性的計(jì)劃和最佳實(shí)踐的更廣泛的社區(qū)，以提升開(kāi)源軟件的安全性。

OpenSSF 官方表示，開(kāi)源軟件已在當(dāng)今的技術(shù)中變得普遍，從數(shù)據(jù)中心到消費(fèi)者設(shè)備，其使用范圍廣泛。但由于大多數(shù)開(kāi)源軟件項(xiàng)目都非常復(fù)雜，貢獻(xiàn)者和依賴(lài)項(xiàng)的鏈條很長(zhǎng)，很難保證安全性。因此，公司迫切需要了解和驗(yàn)證這些依賴(lài)鏈的安全性。OpenSSF 將聯(lián)合各行業(yè)的領(lǐng)導(dǎo)者，致力于與上游及現(xiàn)有社區(qū)的協(xié)同合作，為開(kāi)源軟件安全保駕護(hù)航。

Linux 基金會(huì)原先成立的核心基礎(chǔ)設(shè)施計(jì)劃以及 Github 創(chuàng)立的開(kāi)源安全聯(lián)盟將與 OpenSSF 的工作進(jìn)行整合，成為 OpenSFF 的一部分，為開(kāi)源安全提供統(tǒng)一的社區(qū)。除此以外，OpenSFF 匯集了業(yè)界支持這些計(jì)劃的個(gè)體和公司，包括董事會(huì)創(chuàng)始成員 GitHub、谷歌(Google)、IBM、JP 摩根公司(JPMorgan Chase)、微軟(Microsoft)、NCC 集團(tuán)、OWASP 基金會(huì)和紅帽(Red Hat)等。

其他創(chuàng)始成員還有 ElevenPaths、GitLab、HackerOne、英特爾(Intel)、Okta、Purdue、SAFECode、StackHawk、Trail of Bits、優(yōu)步(Uber)和 VMware。

尤其值得關(guān)注的是，新的基金會(huì)在治理、技術(shù)社區(qū)及決策方面將是透明的，其治理結(jié)構(gòu)包括理事會(huì)技術(shù)咨詢(xún)委員會(huì)以及對(duì)各個(gè)工作組和項(xiàng)目的單獨(dú)監(jiān)督，開(kāi)發(fā)的任何項(xiàng)目將與供應(yīng)商無(wú)關(guān)。接下來(lái)，OpenSSF 將核心圍繞漏洞披露、安全工具、識(shí)別開(kāi)源項(xiàng)目的安全威脅、安全最佳實(shí)踐、開(kāi)發(fā)者身份驗(yàn)證等展開(kāi)工作。

Linux 基金會(huì)執(zhí)行董事 Jim Zemlin 這樣說(shuō)道：“我們認(rèn)為開(kāi)源是一種公共物品，每個(gè)行業(yè)中都有責(zé)任共同努力，以改善和支持我們所依賴(lài)的開(kāi)源軟件的安全性?！? 他表示，“確保開(kāi)源安全是我們能做的最重要的事情之一，它需要世界各地的所有人共同努力。OpenSSF 將為達(dá)成此目標(biāo)推動(dòng)跨行業(yè)的合作?！?

同時(shí)，Microsoft Azure 首席技術(shù)官 Mark Russinovich 還表示：“由于開(kāi)源現(xiàn)在已成為幾乎每個(gè)公司的技術(shù)戰(zhàn)略的核心，因此，保護(hù)開(kāi)源軟件是確保每個(gè)公司(包括我們自己的公司)供應(yīng)鏈安全的重要組成部分。與所有開(kāi)源軟件一樣，建立更好的安全性是社區(qū)驅(qū)動(dòng)的過(guò)程。微軟公司的所有人都為成為開(kāi)源安全基金會(huì)的創(chuàng)始成員而感到興奮，我們期待與社區(qū)合作，以創(chuàng)建對(duì)我們所有人都有幫助的新安全解決方案。”