The Linux Foundation 发布的文章

开源安全基金会(OpenSSF)正式 成立于 2020 年 8 月 3 日。本文将讨论 OpenSSF 创立的初衷,它成立之初六个月内的成就,以及它未来的愿景。

(LCTT 校注:原文发表于 2 年前, 但时至今日仍然有一些值得了解的信息。)

全世界都在推行开源软件(OSS)理念,所以开源软件的安全也至关重要。为了提升开源软件的安全性,业界已经做了大量工作,并取得了一些成果。这些成果包括:Linux 基金会的 核心基础设施计划 Core Infrastructure Initiative (CII)、GitHub 安全实验室的 开源安全联盟 Open Source Security Coalition (OSSC)和由谷歌以及其他公司创立的 联合开源软件计划 Joint Open Source Software Initiative (JOSSI)。

显然,如果这些成果合为一体,软件行业将发展得更加顺利。这三项成果在 2020 年合并为“旨在促进开源软件安全性的、由各行业巨头主导的跨行业联盟”。

OpenSSF 的确受益于这种“跨行业联盟”;它有几十个成员,(按字母顺序)包括 Canonical、 GitHub、谷歌、IBM、英特尔、微软和红帽。联盟的理事会成员还包括安全社区个人代表,这些个人代表是那些不能以企业名义作为联盟成员的个人。该联盟也创造了一些便于人们合作的组织结构:建立一些活跃的工作组,这种工作组确定(并公布)它存在的价值,其中的成员应当就该组织的技术愿景形成一致意见。

但是这并不重要,除非它们有实际成果。当时虽然处于早期,它们也确实取得了一些成果。它们发布了:

  • 安全软件开发基础课程:在 edX 平台上有 3 门免费课程,旨在教授软件开发人员软件安全方面的知识。这些课程注重实际操作,任何开发人员都可以较轻松地学习,而不是那些需要耗费大量资源的理论或案例。开发人员也可以付费参加测试,从而获得认证,表明自己掌握了这些课程地内容。
  • 安全评分卡:为开源项目自动生成“安全分数”,帮助用户进行信任、风险和安全方面的决策。
  • 关键性分数:基于一些参数,为开源项目自动生成关键性分数。临界分数可以让人们对世界上最重要的开源项目有更好的理解。
  • 安全度量仪表盘:这是较早时候发布的成果,它结合安全评分卡、CII 最佳实践和其他数据来源,提供与 OSS 项目有关的安全和支持信息的仪表盘。
  • OpenSSF CVE 基准测试:基准测试由超过 200 个历史上的 JavaScript/TypeScript 漏洞(CVE)的脆弱代码和元数据组成。这将帮助安全团队评估市场上的各种安全工具,使他们能够用真实的代码库(而不是合成的测试代码)确定误报和漏报率。
  • OWASP 安全知识框架:与 OWASP 的合作成果,它是一个知识库,包含了带检查清单的项目和使用多种编程语言的最佳代码样例。它还提供针对开发者如何使用特定的语言编写安全代码的培训材料,以及用于实际操作的安全实验室。
  • 2020 年自由/开源软件贡献者调查报告:OpenSSF 和 LISH 发布了一份报告,其中详细说明了对开源软件贡献者的调查结果,并以此为依据,研究和确定提高 OSS 安全性和可持续性的方法。一共调查了 1200 名受访者。

现有的 CII 最佳实践徽章 项目已经与 OpenSSF 合并,将继续升级。现在项目有很多中文译者,翻译为斯瓦希里语的工作也在进行中,项目也进行了很多小改进,详细阐明获得徽章的要求。

2020 年 11 月举行的 OpenSSF 大会讨论了 OpenSSF 正在进行中的工作。最近,OpenSSF 有这些工作组:

  • 漏洞披露
  • 安全工具
  • 安全最佳实践
  • 对开源项目安全漏洞的识别(重点关注指标仪表盘)
  • 对关键项目的保障
  • 数字身份认证

除了持续更新已发布的项目,未来可能的工作还包括:

  • 为减少重复工作,在多种技术指标中确定哪些是重复和关联的安全需求。这就是作为领导者与 OWASP 协作开发,也称为 通用需求枚举 Common Requirements Enumeration (CRE)。CRE 旨在使用一种公共主题标识符,将标准和指南的各个部分联系起来,这种公共主题标识符的作用是令标准和方案制定者高效工作,令标准使用者能搜索到需要的信息,从而使双方对网络安全有相同的理解。
  • 建一个网站,提供对安全度量仪表盘的免安装访问。再次强调,这将会提供各种来源(包括安全计分卡和 CII 最佳实践)的数据的简单展示。
  • 开发对关键 OSS 项目的识别功能。哈佛大学和 LF 已经做过一些识别关键 OSS 项目的工作。未来一年内,他们会改进方法,添加新的数据来源,从而更好地进行鉴别工作。
  • 资助一些关键的 OSS 项目,提高它们的安全性。预期将关注那些财力不足的项目,帮助这些项目提升整体性能。
  • 识别和实现已改进和简化的技术,用于数字签名的提交和对身份的校验。

跟所有的 Linux 基金会项目一样,OpenSSF 的工作是由其成员决定的。如果你对大家所依赖的 OSS 安全有兴趣,你可以访问 OpenSSF 网站并以某种方式加入它们。参与的最好方式是出席工作组会议——会议每隔一周就举行,而且非常随意。通过合作,我们可以有所作为。欲了解更多信息,可以访问:

https://openssf.org

作者:David A. Wheeler Linux 基金会开源供应链安全总监

本文 首次发表于 Linux 基金会网站


via: https://www.linux.com/news/open-source-security-foundation-openssf-reflection-and-future/

作者:The Linux Foundation 选题:lujun9972 译者:cool-summer-021 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

谷歌编程之夏(GSoC)是一个谷歌举办的国际年度项目,每年都在夏季举办。当贡献者们参与并完成一个 自由开源软件 的编码项目,谷歌 就会给他们发放 津贴。谷歌编程之夏于 2005 年推出,于每年 5 月至 8 月举行。项目创意由参与开源软件开发的主办组织提交,但学生也可以提出自己的项目创意。

今年,该项目向 18 岁或以上的任何人开放 —— 不仅限于学生和应届毕业生了。参与者通过编写软件获得报酬,其 津贴 的金额取决于他们所在国家/地区的 购买力平价

LCTT 译注:以往,这个活动只允许在校学生参与,今年条件放开,只需年龄 18+ 即可,对参与者的贡献时长要求也降低了,尽可能地让更多人参与进来。不过,今年的报名通道在 4 月 19 日就截止了,大家有兴趣的话明年可以关注一下。

这也是 Zephyr 项目第一次作为 Linux 基金会的项目,参与到谷歌编程之夏中。让我们一起欢迎这些贡献者及其项目吧!

项目一:基于 Zephyr 的 Arduino 模块

1 个贡献者(350 小时)。

Arduino 是一个流行的框架,它为嵌入式设备编程提供了一个简化的接口。最近,Arduino 采用 mbed OS 作为其一些新设备的基础 RTOS。通过这项工作,他们将 Arduino Core 作为独立的抽象层,从 Arduino Core for mbed 中分离出来。这为在其他操作系统上利用 Arduino Core 开辟了可能性。

该项目的想法就是创建一个利用 Arduino Core 的 Zephyr 模块,以便开发人员在与 Arduino 兼容的设备上使用 Arduino 框架时,可以使用 Zephyr 作为底层操作系统。对用户的好处包括:

  • 可以访问 Arduino API 以及高级 Zephyr 功能
  • 得益于 Zephyrs 的设备支持,用户可以选择标准 Arduino 生态系统更广泛的设备
  • 能够重复使用 Arduino 工具,如 Arduino IDE 和丰富的库

Arduino Core 使用 LGPL 许可证,Zephyr 使用 Apache 2 许可证。这意味着该项目的开发很可能需要脱离主分支,并在单独的仓库中进行,以保持代码和许可证分离。有关这方面的历史讨论,请参阅 #22247,有关 Arduino 核心架构之前的早期尝试,请参阅 soburi/arduino-on-zephyr

贡献者的任务是:

  • 实现一个基于 Arduino Core 的准系统模块,可以为任何目标编译(不具备功能性,可能在 QEMU 中)
  • 基于 Zephyr,使用 Arduino API 实现一个通用外围设备,例如 Serial
  • 以一个物理板为目标,例如 Arduino Zero

导师:

Jonathan Beri – Golioth 和 Zephyr TSC 的首席执行官 Alvaro Viebrantz – Golioth 和 Google GDE 的创始工程师

代码许可证: LGPL

贡献者详细信息:

关于贡献者:

Dhruva 是一名电气工程专业的本科生。他的兴趣广泛,从嵌入式软件开发到硬件设计,在 SBC、微控制器和嵌入式 Linux 平台方面拥有丰富的工作经验。

项目二:Zephyr 的 Apache Thrift 模块

一个贡献者(350 小时)。

Apache Thrift 是一个 IDL 规范、RPC 框架和代码生成器,它抽象出传输和协议细节,让开发者专注于应用逻辑。它适用于所有主流操作系统,支持超过 27 种编程语言、7 种协议和 6 种底层传输方式。最初,它于 2007 年在 Facebook 开发,随后与 Apache 软件基金会共享。

在 Zephyr RTOS 中支持 Thrift 将使社区受益匪浅。它将带来新的软件和硬件技术、新产品以及云集成的其他方式。 Thrift 也可以用于几乎任何传输,因此,它是 Zephyr 支持的许多不同物理通信层的自然选择。该项目的想法是使概念验证 Thrift for Zephyr 模块 形成以供上游使用。为此,贡献者必须:

  • 对 Thrift 功能(协议、传输)执行额外的集成
  • 使用 supported boardQemu 编写其他示例应用程序
  • 使用 Zephyr 测试框架 编写其他测试并生成覆盖率报告
  • 确保模块遵循适当的 编码指南 并满足 模块要求
  • 将任何必要的改进贡献回 Apache Thrift 项目
  • 将任何必要的改进贡献回 Zephyr 项目

导师:

代码许可证: Apache 2.0

贡献者详细信息:

  • 姓名:Young

关于贡献者: Young 是一名通信工程专业的学生,他将攻读计算机工程硕士学位。他兴趣广泛,从前端开发到硬件设计,在 Web、IoT 和嵌入式平台方面拥有丰富的工作经验。2021 年他设计的一款搭载 RISC-V 64 处理器的低成本单板机被多家极客媒体报道。

本文 Google Summer of Code + Zephyr RTOS 首发于 Linux 基金会


via: https://www.linux.com/news/google-summer-of-code-zephyr-rtos/

作者:The Linux Foundation 选题:lkxed 译者:lkxed 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

2020 年对于 Linux 基金会 Linux Foundation (LF)和我们托管的社区来说,是充满挑战的一年。在这次大流行期间,我们都看到我们和世界各地许多同事、朋友和家人的日常生活完全改变了。在我们的社区中,有太多的人也为失去家人和朋友而悲痛。

看到 LF 的成员加入到对抗 COVID-19 的斗争中,令人振奋。我们在世界各地的成员为科研人员贡献了技术资源,为挣扎中的家庭和个人提供了援助,为国家和国际努力做出了贡献,有些人甚至一起在 LF 公共卫生 下创建了开源项目,以帮助各国应对这场大流行病。

今年,我们的项目社区在继续发展,在许多开放技术领域、开放标准、开放数据和开放硬件方面都有新的举措。今年,我们迎接了 150 多个新社区加入 LF,包括 FINOS 基金会,它是开源金融服务项目的保护项目。

我们的 活动团队 不得不进行了重大转型,在几周内,从面对面的活动转变为虚拟活动,参与者从不足 100 人到数万人不等。这些虚拟聚会帮助我们社区中的许多人在这个困难时期建立了联系。我们也学到了很多关于未来可能通过提供虚拟体验的 混合亲身活动 hybrid in-person events 来提供更具包容性的体验。今年,我们很想念在我们的社区中见到的许多朋友,并期待着在安全的情况下再次见到你们。

我们的 培训和认证 团队能够帮助 170 多万名报名参加我们免费培训课程的人。我要祝贺今年获得 LF 认证的 4 万多人。

LF 的 2020 年度工作报告》显示,尽管商业环境充满挑战,但经过培训和认证的开源专业人员仍有大有需求,并能轻松地展示其价值。

作为我们正在进行的多元化努力的一部分,在加入反对不平等的斗争中,我们的社区专注于该如何在项目中使用语言,并寻找导师来指导下一代的贡献者。我们的社区,如 Linux 内核团队和在北美 KubeCon 上发起的 包容性命名倡议 Inclusive Naming Initiative ,在加强我们的互动方式上取得了进展。

今年是我们 联合发展基金会 Joint Development Foundation (JDF)和 开放标准社区 open standards communities 的突破性一年。我们迎来了六个建立开放标准的新项目。JDF 还被批准为 ISO/IEC JTC 1 公开发布规范(PAS)提交者。今年还标志着我们的第一个开放标准社区 OpenChain 通过 PAS 程序,被正式认可为国际标准。今天,Linux 基金会可以把我们的社区,从开源仓库带到一个公认的全球标准。

今年,我们生态系统中的许多人已经站出来帮助安全工作。一个新的社区 开源安全基金会 Open Source Security Foundation (OpenSSF)启动了,以协调专注于提高开源软件安全性的努力。

当我们继续在美国与挑战作斗争时,我们也重申 LF 是全球社区的一部分

我们的成员必须得应对国际贸易政策变化的一年,并了解到开放源码在政治上的蓬勃发展。来自世界各地的我们的成员社区参与了 开放合作 open collaboration ,因为它是开放、中立和透明的。这些参与者显然希望继续与全球同行合作,以应对大大小小的挑战。

在这困难的一年结束时,所有这些都让我们确信,开放合作是解决世界上最复杂挑战的模式。没有任何一个人、组织或政府能够单独创造出我们解决最紧迫问题所需的技术。我们代表整个 Linux 基金会团队,期待着帮助您和我们的社区应对接下来的任何挑战。

Jim Zemlin,Linux 基金会执行总监

这篇文章首先发布于 Linux 基金会


via: https://www.linux.com/news/download-the-2020-linux-foundation-annual-report/

作者:The Linux Foundation 选题:lujun9972 译者:wxy 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出