信息來源:安全內(nèi)參
Linux基金會和開源安全基金會提出了一項為期兩年的近1.5億美元的投資計劃,以加強美國的開源安全。該計劃于當(dāng)?shù)貢r間5月12日在華盛頓特區(qū)舉行的開源軟件安全峰會II上宣布��。來自37家公司的90名高管參加了此次活動�����,他們代表了開源開發(fā)者和商業(yè)生態(tài)系統(tǒng)的各個領(lǐng)域。與會者還包括來自聯(lián)邦機構(gòu)的高管�,包括國家安全委員會�����、網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局���、國家標(biāo)準(zhǔn)與技術(shù)研究所��、美國能源部以及管理和預(yù)算辦公室。
“我們在這里以一個可行的計劃做出回應(yīng)��,因為開源是我們國家安全的一個關(guān)鍵組成部分��,它是當(dāng)今軟件創(chuàng)新投資數(shù)十億美元的基礎(chǔ)。我們有共同的義務(wù)來升級我們的集體網(wǎng)絡(luò)安全,Linux基金會執(zhí)行董事吉姆·澤姆林 (Jim Zemlin) 在峰會上表示,該峰會是在喬·拜登總統(tǒng)執(zhí)政一周年之際舉行的�����。
OpenSSF的總經(jīng)理Behlendorf說:“這是一個有望覆蓋我們確定的1.5億美元的更大基金的開始�����?��!?“現(xiàn)在隨著計劃的發(fā)展�,隨著我們找到節(jié)省資金的方法����,隨著我們根據(jù)可用資金調(diào)整目標(biāo)�����,我們將根據(jù)機會調(diào)整規(guī)模��?����!?
IBM系統(tǒng)戰(zhàn)略和開發(fā)總經(jīng)理Jamie Thomas說:“我認(rèn)為這確實可以確保我們都了解開源的重要性���、它使我們變得多么高效以及我們有義務(wù)考慮使用它的影響����?��!?
亞馬遜�、愛立信���、谷歌、英特爾����、微軟和 VMWare 已經(jīng)承諾提供3000萬美元�����。更多的已經(jīng)在路上����。亞馬遜網(wǎng)絡(luò)服務(wù) (AWS) 已經(jīng)承諾追加1000萬美元��。
上一屆開源軟件安全峰會于2022年1月13日舉行��,由白宮國家安全委員會牽頭�。當(dāng)時在白宮新聞發(fā)布會上�����,OpenSSF總經(jīng)理布賴恩·貝倫多夫(Brian Behlendorf)說:“我想明確一點:我們不是來這里從政府那里籌集資金的���。我們沒有預(yù)料到需要直接去政府為任何人獲得資金���?�!?
確立的十大目標(biāo)
以下是開源行業(yè)致力于實現(xiàn)的十個目標(biāo)。
1���、安全教育:向所有人提供基線安全軟件開發(fā)教育和認(rèn)證���。
2�、風(fēng)險評估:為前0,000 個或更多)OSS 組件建立一個公開的、供應(yīng)商中立的���、基于客觀指標(biāo)的風(fēng)險評估儀表板����。
3����、數(shù)字簽名:加速在軟件版本中采用數(shù)字簽名��。
4、內(nèi)存安全:通過替換非內(nèi)存安全語言來消除許多漏洞的根本原因�����。
5、事件響應(yīng):建立OpenSSF開源安全事件響應(yīng)團(tuán)隊��,安全專家可以在響應(yīng)漏洞的關(guān)鍵時刻介入?yún)f(xié)助開源項目����。
6����、更好的掃描:通過高級安全工具和專家指導(dǎo)�����,加速維護(hù)人員和專家發(fā)現(xiàn)新漏洞。
7、代碼審計:每年對多達(dá)200個最關(guān)鍵的OSS組件進(jìn)行一次第三方代碼審查(以及任何必要的補救工作)�。
8�����、數(shù)據(jù)共享:協(xié)調(diào)全行業(yè)的數(shù)據(jù)共享�����,以改進(jìn)有助于確定最關(guān)鍵OSS組件的研究���。
9����、軟件物料清單 (SBOM):持續(xù)改進(jìn)無處不在的SBOM工具和培訓(xùn)以推動采用�����。
10、改進(jìn)的供應(yīng)鏈:使用更好的供應(yīng)鏈安全工具和最佳實踐來增強10個最關(guān)鍵的開源軟件構(gòu)建系統(tǒng)�、包管理器和分發(fā)系統(tǒng)���。
乍一看��,這也是一項艱巨的任務(wù)�����。例如,作為所有開源項目中最重要的Linux 內(nèi)核核心的C語言存在許多漏洞。雖然內(nèi)存安全的Rust語言現(xiàn)在正在Linux中使用�,但要在Linux超過2780萬行代碼中取代 C語言還需要幾年甚至幾十年的時間�。事實上�����,很難確定是否會看到所有Linux的C代碼都被Rust取代。
開源安全公司Chainguard呼吁軟件行業(yè)對Sigstore進(jìn)行標(biāo)準(zhǔn)化����。Sigstore使開發(fā)人員能夠安全地簽署軟件工件�,例如發(fā)布文件、容器映像���、二進(jìn)制文件���、物料清單清單。這個Linux 基金會項目得到了谷歌���、紅帽和普渡大學(xué)的支持。
投資計劃
Linux基金會和OpenSSF已經(jīng)為1.5億美元確定了10個投資流���,將在兩年內(nèi)分?jǐn)偂?
*數(shù)字簽名將在第一年之后獲得一次性1000萬美元的投資推動。
根據(jù)OpenSSF執(zhí)行董事布賴恩·貝倫多夫 (Brian Behlendorf) 的說法�,該計劃是“匯集一系列關(guān)于那里出現(xiàn)的問題以及我們可以采取哪些措施來解決問題的想法和原則”�。他補充說,確定的10個投資領(lǐng)域代表了“地面上的10面旗幟�����,作為開始的基礎(chǔ)”����。
峰會“致力于制定更廣泛的社區(qū)可以采用的行動計劃,其中包括10個專注于加強軟件供應(yīng)鏈的開源活動流的綜合投資組合��,”軟件供應(yīng)鏈平臺����,DevOps公司JFrog開發(fā)人員關(guān)系副總裁Stephen Chin受邀參加峰會。Chin表示�����,雖然開源一直被視為現(xiàn)代化的種子�,但最近軟件供應(yīng)鏈攻擊的興起表明,需要一個更強化的流程來驗證開源——源存儲庫���。
“我們相信��,只有為OSS項目提供與企業(yè)可用的相同工具和服務(wù)�,開源安全才會成功���。對開源項目的自動化工具和高質(zhì)量安全數(shù)據(jù)庫的訪問至關(guān)重要����,”他補充道���。
無處不在的SBOM是重中之重
在過去一年中獲得突出的投資流之一是軟件材料清單或SBOM����。該計劃詳細(xì)說明了第一年在該領(lǐng)域的320萬美元投資����,而后一年的金額尚未確定。
在峰會上宣布的計劃承認(rèn)�����,企業(yè)通常沒有他們部署的軟件資產(chǎn)的清單�,也沒有關(guān)于他們所獲得的軟件中的組件的數(shù)據(jù)���。當(dāng)他們考慮購買新軟件時,企業(yè)通常無法衡量其組件包含的風(fēng)險�,包括已知漏洞。
“SBOM是為開源供應(yīng)鏈漏洞提供透明度的最關(guān)鍵部分之一����。今天的挑戰(zhàn)是,構(gòu)建端到端的SBOM就像不穩(wěn)定地堆疊人工構(gòu)建且易受更改影響的Jenga塔�����。要成功����,標(biāo)準(zhǔn)和工具需要像樂高積木一樣自動化和集成,無縫堆疊和集成���,”Chin說�����。
在他們的計劃中����,Linux基金會和OpenSSF表示,多個行業(yè)已將SBOM確定為解決開源安全問題的基本構(gòu)建塊�����。但要適當(dāng)應(yīng)對挑戰(zhàn)�,SBOM的采用必須廣泛��、標(biāo)準(zhǔn)化和準(zhǔn)確�����?!巴ㄟ^專注于工具和宣傳,我們可以消除各地SBOM的生成����、消費和整體采用的障礙。我們可以改善整個開源生態(tài)系統(tǒng)的安全態(tài)勢:生產(chǎn)者���、消費者和維護(hù)者����,”這些組織表示
他們建議為開發(fā)人員團(tuán)隊提供資源����,以改進(jìn)工具并將SBOM融入所有主要編程語言中最流行的軟件構(gòu)建工具和基礎(chǔ)設(shè)施��。
Chin表示����,專注于提升“10 個最關(guān)鍵的OSS構(gòu)建系統(tǒng)���、包管理器和分發(fā)系統(tǒng)����,以及更好的供應(yīng)鏈安全工具和最佳實踐��,將有助于解決易受攻擊的軟件存儲庫——企業(yè)軟件的最大攻擊媒介”��。
