开源安全基金会（OpenSSF）正式 成立于 2020 年 8 月 3 日。本文将讨论 OpenSSF 创立的初衷，它成立之初六个月内的成就，以及它未来的愿景。

（LCTT 校注：原文发表于 2 年前， 但时至今日仍然有一些值得了解的信息。）

全世界都在推行开源软件（OSS）理念，所以开源软件的安全也至关重要。为了提升开源软件的安全性，业界已经做了大量工作，并取得了一些成果。这些成果包括：Linux 基金会的 核心基础设施计划 Core Infrastructure Initiative （CII）、GitHub 安全实验室的 开源安全联盟 Open Source Security Coalition （OSSC）和由谷歌以及其他公司创立的 联合开源软件计划 Joint Open Source Software Initiative （JOSSI）。

显然，如果这些成果合为一体，软件行业将发展得更加顺利。这三项成果在 2020 年合并为“旨在促进开源软件安全性的、由各行业巨头主导的跨行业联盟”。

OpenSSF 的确受益于这种“跨行业联盟”；它有几十个成员，（按字母顺序）包括 Canonical、 GitHub、谷歌、IBM、英特尔、微软和红帽。联盟的理事会成员还包括安全社区个人代表，这些个人代表是那些不能以企业名义作为联盟成员的个人。该联盟也创造了一些便于人们合作的组织结构：建立一些活跃的工作组，这种工作组确定（并公布）它存在的价值，其中的成员应当就该组织的技术愿景形成一致意见。

但是这并不重要，除非它们有实际成果。当时虽然处于早期，它们也确实取得了一些成果。它们发布了：

• 安全软件开发基础课程：在 edX 平台上有 3 门免费课程，旨在教授软件开发人员软件安全方面的知识。这些课程注重实际操作，任何开发人员都可以较轻松地学习，而不是那些需要耗费大量资源的理论或案例。开发人员也可以付费参加测试，从而获得认证，表明自己掌握了这些课程地内容。
• 安全评分卡：为开源项目自动生成“安全分数”，帮助用户进行信任、风险和安全方面的决策。
• 关键性分数：基于一些参数，为开源项目自动生成关键性分数。临界分数可以让人们对世界上最重要的开源项目有更好的理解。
• 安全度量仪表盘：这是较早时候发布的成果，它结合安全评分卡、CII 最佳实践和其他数据来源，提供与 OSS 项目有关的安全和支持信息的仪表盘。
• OpenSSF CVE 基准测试：基准测试由超过 200 个历史上的 JavaScript/TypeScript 漏洞（CVE）的脆弱代码和元数据组成。这将帮助安全团队评估市场上的各种安全工具，使他们能够用真实的代码库（而不是合成的测试代码）确定误报和漏报率。
• OWASP 安全知识框架：与 OWASP 的合作成果，它是一个知识库，包含了带检查清单的项目和使用多种编程语言的最佳代码样例。它还提供针对开发者如何使用特定的语言编写安全代码的培训材料，以及用于实际操作的安全实验室。
• 2020 年自由/开源软件贡献者调查报告：OpenSSF 和 LISH 发布了一份报告，其中详细说明了对开源软件贡献者的调查结果，并以此为依据，研究和确定提高 OSS 安全性和可持续性的方法。一共调查了 1200 名受访者。

现有的 CII 最佳实践徽章 项目已经与 OpenSSF 合并，将继续升级。现在项目有很多中文译者，翻译为斯瓦希里语的工作也在进行中，项目也进行了很多小改进，详细阐明获得徽章的要求。

2020 年 11 月举行的 OpenSSF 大会讨论了 OpenSSF 正在进行中的工作。最近，OpenSSF 有这些工作组：

• 漏洞披露
• 安全工具
• 安全最佳实践
• 对开源项目安全漏洞的识别（重点关注指标仪表盘）
• 对关键项目的保障
• 数字身份认证

除了持续更新已发布的项目，未来可能的工作还包括：

• 为减少重复工作，在多种技术指标中确定哪些是重复和关联的安全需求。这就是作为领导者与 OWASP 协作开发，也称为 通用需求枚举 Common Requirements Enumeration （CRE）。CRE 旨在使用一种公共主题标识符，将标准和指南的各个部分联系起来，这种公共主题标识符的作用是令标准和方案制定者高效工作，令标准使用者能搜索到需要的信息，从而使双方对网络安全有相同的理解。
• 建一个网站，提供对安全度量仪表盘的免安装访问。再次强调，这将会提供各种来源（包括安全计分卡和 CII 最佳实践）的数据的简单展示。
• 开发对关键 OSS 项目的识别功能。哈佛大学和 LF 已经做过一些识别关键 OSS 项目的工作。未来一年内，他们会改进方法，添加新的数据来源，从而更好地进行鉴别工作。
• 资助一些关键的 OSS 项目，提高它们的安全性。预期将关注那些财力不足的项目，帮助这些项目提升整体性能。
• 识别和实现已改进和简化的技术，用于数字签名的提交和对身份的校验。

跟所有的 Linux 基金会项目一样，OpenSSF 的工作是由其成员决定的。如果你对大家所依赖的 OSS 安全有兴趣，你可以访问 OpenSSF 网站并以某种方式加入它们。参与的最好方式是出席工作组会议——会议每隔一周就举行，而且非常随意。通过合作，我们可以有所作为。欲了解更多信息，可以访问：

https://openssf.org

作者：David A. Wheeler Linux 基金会开源供应链安全总监

本文 首次发表于 Linux 基金会网站。

via: https://www.linux.com/news/open-source-security-foundation-openssf-reflection-and-future/

作者：The Linux Foundation 选题：lujun9972 译者：cool-summer-021 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

谷歌编程之夏（GSoC）是一个谷歌举办的国际年度项目，每年都在夏季举办。当贡献者们参与并完成一个 自由开源软件 的编码项目，谷歌 就会给他们发放 津贴。谷歌编程之夏于 2005 年推出，于每年 5 月至 8 月举行。项目创意由参与开源软件开发的主办组织提交，但学生也可以提出自己的项目创意。

今年，该项目向 18 岁或以上的任何人开放 —— 不仅限于学生和应届毕业生了。参与者通过编写软件获得报酬，其 津贴 的金额取决于他们所在国家/地区的 购买力平价。

LCTT 译注：以往，这个活动只允许在校学生参与，今年条件放开，只需年龄 18+ 即可，对参与者的贡献时长要求也降低了，尽可能地让更多人参与进来。不过，今年的报名通道在 4 月 19 日就截止了，大家有兴趣的话明年可以关注一下。

这也是 Zephyr 项目第一次作为 Linux 基金会的项目，参与到谷歌编程之夏中。让我们一起欢迎这些贡献者及其项目吧！

项目一：基于 Zephyr 的 Arduino 模块

1 个贡献者（350 小时）。

Arduino 是一个流行的框架，它为嵌入式设备编程提供了一个简化的接口。最近，Arduino 采用 mbed OS 作为其一些新设备的基础 RTOS。通过这项工作，他们将 Arduino Core 作为独立的抽象层，从 Arduino Core for mbed 中分离出来。这为在其他操作系统上利用 Arduino Core 开辟了可能性。

该项目的想法就是创建一个利用 Arduino Core 的 Zephyr 模块，以便开发人员在与 Arduino 兼容的设备上使用 Arduino 框架时，可以使用 Zephyr 作为底层操作系统。对用户的好处包括：

• 可以访问 Arduino API 以及高级 Zephyr 功能
• 得益于 Zephyrs 的设备支持，用户可以选择标准 Arduino 生态系统更广泛的设备
• 能够重复使用 Arduino 工具，如 Arduino IDE 和丰富的库

Arduino Core 使用 LGPL 许可证，Zephyr 使用 Apache 2 许可证。这意味着该项目的开发很可能需要脱离主分支，并在单独的仓库中进行，以保持代码和许可证分离。有关这方面的历史讨论，请参阅 #22247，有关 Arduino 核心架构之前的早期尝试，请参阅 soburi/arduino-on-zephyr。

贡献者的任务是：

• 实现一个基于 Arduino Core 的准系统模块，可以为任何目标编译（不具备功能性，可能在 QEMU 中）
• 基于 Zephyr，使用 Arduino API 实现一个通用外围设备，例如 Serial
• 以一个物理板为目标，例如 Arduino Zero

导师：

Jonathan Beri – Golioth 和 Zephyr TSC 的首席执行官 Alvaro Viebrantz – Golioth 和 Google GDE 的创始工程师

代码许可证： LGPL

贡献者详细信息：

• 姓名：Dhruva Gole
• 项目博客：https://dhruvag2000.github.io/Blog-GSoC22/
• 项目海报：（题图）

关于贡献者：

Dhruva 是一名电气工程专业的本科生。他的兴趣广泛，从嵌入式软件开发到硬件设计，在 SBC、微控制器和嵌入式 Linux 平台方面拥有丰富的工作经验。

项目二：Zephyr 的 Apache Thrift 模块

一个贡献者（350 小时）。

Apache Thrift 是一个 IDL 规范、RPC 框架和代码生成器，它抽象出传输和协议细节，让开发者专注于应用逻辑。它适用于所有主流操作系统，支持超过 27 种编程语言、7 种协议和 6 种底层传输方式。最初，它于 2007 年在 Facebook 开发，随后与 Apache 软件基金会共享。

在 Zephyr RTOS 中支持 Thrift 将使社区受益匪浅。它将带来新的软件和硬件技术、新产品以及云集成的其他方式。 Thrift 也可以用于几乎任何传输，因此，它是 Zephyr 支持的许多不同物理通信层的自然选择。该项目的想法是使概念验证 Thrift for Zephyr 模块 形成以供上游使用。为此，贡献者必须：

• 对 Thrift 功能（协议、传输）执行额外的集成
• 使用 supported board 或 Qemu 编写其他示例应用程序
• 使用 Zephyr 测试框架 编写其他测试并生成覆盖率报告
• 确保模块遵循适当的 编码指南 并满足 模块要求
• 将任何必要的改进贡献回 Apache Thrift 项目
• 将任何必要的改进贡献回 Zephyr 项目

导师：

• Christopher Friedt – Meta 的 SWE / ASIC FW 和 Zephyr TSC 成员
• Stephanos Ioannidis – Zephyr CXX 子系统维护者

代码许可证： Apache 2.0

贡献者详细信息：

• 姓名：Young

关于贡献者： Young 是一名通信工程专业的学生，他将攻读计算机工程硕士学位。他兴趣广泛，从前端开发到硬件设计，在 Web、IoT 和嵌入式平台方面拥有丰富的工作经验。2021 年他设计的一款搭载 RISC-V 64 处理器的低成本单板机被多家极客媒体报道。

本文 Google Summer of Code + Zephyr RTOS 首发于 Linux 基金会。

via: https://www.linux.com/news/google-summer-of-code-zephyr-rtos/

作者：The Linux Foundation 选题：lkxed 译者：lkxed 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

2020 年对于 Linux 基金会 Linux Foundation （LF）和我们托管的社区来说，是充满挑战的一年。在这次大流行期间，我们都看到我们和世界各地许多同事、朋友和家人的日常生活完全改变了。在我们的社区中，有太多的人也为失去家人和朋友而悲痛。

看到 LF 的成员加入到对抗 COVID-19 的斗争中，令人振奋。我们在世界各地的成员为科研人员贡献了技术资源，为挣扎中的家庭和个人提供了援助，为国家和国际努力做出了贡献，有些人甚至一起在 LF 公共卫生 下创建了开源项目，以帮助各国应对这场大流行病。

今年，我们的项目社区在继续发展，在许多开放技术领域、开放标准、开放数据和开放硬件方面都有新的举措。今年，我们迎接了 150 多个新社区加入 LF，包括 FINOS 基金会，它是开源金融服务项目的保护项目。

我们的 活动团队 不得不进行了重大转型，在几周内，从面对面的活动转变为虚拟活动，参与者从不足 100 人到数万人不等。这些虚拟聚会帮助我们社区中的许多人在这个困难时期建立了联系。我们也学到了很多关于未来可能通过提供虚拟体验的 混合亲身活动 hybrid in-person events 来提供更具包容性的体验。今年，我们很想念在我们的社区中见到的许多朋友，并期待着在安全的情况下再次见到你们。

我们的 培训和认证 团队能够帮助 170 多万名报名参加我们免费培训课程的人。我要祝贺今年获得 LF 认证的 4 万多人。

《LF 的 2020 年度工作报告》显示，尽管商业环境充满挑战，但经过培训和认证的开源专业人员仍有大有需求，并能轻松地展示其价值。

作为我们正在进行的多元化努力的一部分，在加入反对不平等的斗争中，我们的社区专注于该如何在项目中使用语言，并寻找导师来指导下一代的贡献者。我们的社区，如 Linux 内核团队和在北美 KubeCon 上发起的 包容性命名倡议 Inclusive Naming Initiative ，在加强我们的互动方式上取得了进展。

今年是我们 联合发展基金会 Joint Development Foundation （JDF）和 开放标准社区 open standards communities 的突破性一年。我们迎来了六个建立开放标准的新项目。JDF 还被批准为 ISO/IEC JTC 1 公开发布规范（PAS）提交者。今年还标志着我们的第一个开放标准社区 OpenChain 通过 PAS 程序，被正式认可为国际标准。今天，Linux 基金会可以把我们的社区，从开源仓库带到一个公认的全球标准。

今年，我们生态系统中的许多人已经站出来帮助安全工作。一个新的社区 开源安全基金会 Open Source Security Foundation （OpenSSF）启动了，以协调专注于提高开源软件安全性的努力。

当我们继续在美国与挑战作斗争时，我们也重申 LF 是全球社区的一部分。

我们的成员必须得应对国际贸易政策变化的一年，并了解到开放源码在政治上的蓬勃发展。来自世界各地的我们的成员社区参与了 开放合作 open collaboration ，因为它是开放、中立和透明的。这些参与者显然希望继续与全球同行合作，以应对大大小小的挑战。

在这困难的一年结束时，所有这些都让我们确信，开放合作是解决世界上最复杂挑战的模式。没有任何一个人、组织或政府能够单独创造出我们解决最紧迫问题所需的技术。我们代表整个 Linux 基金会团队，期待着帮助您和我们的社区应对接下来的任何挑战。

Jim Zemlin，Linux 基金会执行总监

• 下载 Linux 基金会 2020 年度报告

这篇文章首先发布于 Linux 基金会。

via: https://www.linux.com/news/download-the-2020-linux-foundation-annual-report/

作者：The Linux Foundation 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出