如今，開源已成為全球技術(shù)應(yīng)用程序的基礎(chǔ)架構(gòu)。 根據(jù)Gartner的調(diào)查，有99%的公司在其計算機(jī)系統(tǒng)中使用開源軟件。 同時，開源的安全風(fēng)險一直是許多公司和開發(fā)人員面臨的問題。 根據(jù)安全公司W(wǎng)hiteSource的先前報告，在過去一年中，開放源漏洞的數(shù)量已破記錄，同比增長近50%。

解決開源的安全問題迫在眉睫，全球最大的代碼托管平臺 GitHub 便一直在努力，其官方表示，開源的安全性對軟件的未來至關(guān)重要，在 2019 年 GitHub 收購了 Dependabot 和 Semmle，并將這些安全工具免費提供給公共存儲庫，同時，GitHub 還通過創(chuàng)建 GitHub Security Lab 和 Open Source Security Coalition 來支持開源開發(fā)者和維護(hù)者的安全工作，截至目前，這些舉措已經(jīng)幫助在開源軟件中發(fā)現(xiàn)了 120 多個 CVE。

現(xiàn)在，我們在保護(hù)開源安全性上迎來了更強(qiáng)有力的保障。

近日，Linux 基金會聯(lián)合包括微軟與 GitHub、Google、IBM、紅帽(Red Hat)、英特爾(Intel)、VMware、優(yōu)步(Uber)等在內(nèi)的多家軟硬件企業(yè)一起，共同成立了 Open Source Security Foundation(開源安全基金會，簡稱 OpenSSF)，OpenSSF 官方表示，這是一項跨行業(yè)的協(xié)作，將行業(yè)領(lǐng)導(dǎo)者們聚集在一起，通過建立具有針對性的計劃和最佳實踐的更廣泛的社區(qū)，以提升開源軟件的安全性。

OpenSSF 官方表示，開源軟件已在當(dāng)今的技術(shù)中變得普遍，從數(shù)據(jù)中心到消費者設(shè)備，其使用范圍廣泛。但由于大多數(shù)開源軟件項目都非常復(fù)雜，貢獻(xiàn)者和依賴項的鏈條很長，很難保證安全性。因此，公司迫切需要了解和驗證這些依賴鏈的安全性。OpenSSF 將聯(lián)合各行業(yè)的領(lǐng)導(dǎo)者，致力于與上游及現(xiàn)有社區(qū)的協(xié)同合作，為開源軟件安全保駕護(hù)航。

Linux 基金會原先成立的核心基礎(chǔ)設(shè)施計劃以及 Github 創(chuàng)立的開源安全聯(lián)盟將與 OpenSSF 的工作進(jìn)行整合，成為 OpenSFF 的一部分，為開源安全提供統(tǒng)一的社區(qū)。除此以外，OpenSFF 匯集了業(yè)界支持這些計劃的個體和公司，包括董事會創(chuàng)始成員 GitHub、谷歌(Google)、IBM、JP 摩根公司(JPMorgan Chase)、微軟(Microsoft)、NCC 集團(tuán)、OWASP 基金會和紅帽(Red Hat)等。

其他創(chuàng)始成員還有 ElevenPaths、GitLab、HackerOne、英特爾(Intel)、Okta、Purdue、SAFECode、StackHawk、Trail of Bits、優(yōu)步(Uber)和 VMware。

尤其值得關(guān)注的是，新的基金會在治理、技術(shù)社區(qū)及決策方面將是透明的，其治理結(jié)構(gòu)包括理事會技術(shù)咨詢委員會以及對各個工作組和項目的單獨監(jiān)督，開發(fā)的任何項目將與供應(yīng)商無關(guān)。接下來，OpenSSF 將核心圍繞漏洞披露、安全工具、識別開源項目的安全威脅、安全最佳實踐、開發(fā)者身份驗證等展開工作。

Linux 基金會執(zhí)行董事 Jim Zemlin 這樣說道：“我們認(rèn)為開源是一種公共物品，每個行業(yè)中都有責(zé)任共同努力，以改善和支持我們所依賴的開源軟件的安全性?！? 他表示，“確保開源安全是我們能做的最重要的事情之一，它需要世界各地的所有人共同努力。OpenSSF 將為達(dá)成此目標(biāo)推動跨行業(yè)的合作?！?

同時，Microsoft Azure 首席技術(shù)官 Mark Russinovich 還表示：“由于開源現(xiàn)在已成為幾乎每個公司的技術(shù)戰(zhàn)略的核心，因此，保護(hù)開源軟件是確保每個公司(包括我們自己的公司)供應(yīng)鏈安全的重要組成部分。與所有開源軟件一樣，建立更好的安全性是社區(qū)驅(qū)動的過程。微軟公司的所有人都為成為開源安全基金會的創(chuàng)始成員而感到興奮，我們期待與社區(qū)合作，以創(chuàng)建對我們所有人都有幫助的新安全解決方案?！?