标签 OpenSSF 下的文章

开源安全基金会(OpenSSF)正式 成立于 2020 年 8 月 3 日。本文将讨论 OpenSSF 创立的初衷,它成立之初六个月内的成就,以及它未来的愿景。

(LCTT 校注:原文发表于 2 年前, 但时至今日仍然有一些值得了解的信息。)

全世界都在推行开源软件(OSS)理念,所以开源软件的安全也至关重要。为了提升开源软件的安全性,业界已经做了大量工作,并取得了一些成果。这些成果包括:Linux 基金会的 核心基础设施计划 Core Infrastructure Initiative (CII)、GitHub 安全实验室的 开源安全联盟 Open Source Security Coalition (OSSC)和由谷歌以及其他公司创立的 联合开源软件计划 Joint Open Source Software Initiative (JOSSI)。

显然,如果这些成果合为一体,软件行业将发展得更加顺利。这三项成果在 2020 年合并为“旨在促进开源软件安全性的、由各行业巨头主导的跨行业联盟”。

OpenSSF 的确受益于这种“跨行业联盟”;它有几十个成员,(按字母顺序)包括 Canonical、 GitHub、谷歌、IBM、英特尔、微软和红帽。联盟的理事会成员还包括安全社区个人代表,这些个人代表是那些不能以企业名义作为联盟成员的个人。该联盟也创造了一些便于人们合作的组织结构:建立一些活跃的工作组,这种工作组确定(并公布)它存在的价值,其中的成员应当就该组织的技术愿景形成一致意见。

但是这并不重要,除非它们有实际成果。当时虽然处于早期,它们也确实取得了一些成果。它们发布了:

  • 安全软件开发基础课程:在 edX 平台上有 3 门免费课程,旨在教授软件开发人员软件安全方面的知识。这些课程注重实际操作,任何开发人员都可以较轻松地学习,而不是那些需要耗费大量资源的理论或案例。开发人员也可以付费参加测试,从而获得认证,表明自己掌握了这些课程地内容。
  • 安全评分卡:为开源项目自动生成“安全分数”,帮助用户进行信任、风险和安全方面的决策。
  • 关键性分数:基于一些参数,为开源项目自动生成关键性分数。临界分数可以让人们对世界上最重要的开源项目有更好的理解。
  • 安全度量仪表盘:这是较早时候发布的成果,它结合安全评分卡、CII 最佳实践和其他数据来源,提供与 OSS 项目有关的安全和支持信息的仪表盘。
  • OpenSSF CVE 基准测试:基准测试由超过 200 个历史上的 JavaScript/TypeScript 漏洞(CVE)的脆弱代码和元数据组成。这将帮助安全团队评估市场上的各种安全工具,使他们能够用真实的代码库(而不是合成的测试代码)确定误报和漏报率。
  • OWASP 安全知识框架:与 OWASP 的合作成果,它是一个知识库,包含了带检查清单的项目和使用多种编程语言的最佳代码样例。它还提供针对开发者如何使用特定的语言编写安全代码的培训材料,以及用于实际操作的安全实验室。
  • 2020 年自由/开源软件贡献者调查报告:OpenSSF 和 LISH 发布了一份报告,其中详细说明了对开源软件贡献者的调查结果,并以此为依据,研究和确定提高 OSS 安全性和可持续性的方法。一共调查了 1200 名受访者。

现有的 CII 最佳实践徽章 项目已经与 OpenSSF 合并,将继续升级。现在项目有很多中文译者,翻译为斯瓦希里语的工作也在进行中,项目也进行了很多小改进,详细阐明获得徽章的要求。

2020 年 11 月举行的 OpenSSF 大会讨论了 OpenSSF 正在进行中的工作。最近,OpenSSF 有这些工作组:

  • 漏洞披露
  • 安全工具
  • 安全最佳实践
  • 对开源项目安全漏洞的识别(重点关注指标仪表盘)
  • 对关键项目的保障
  • 数字身份认证

除了持续更新已发布的项目,未来可能的工作还包括:

  • 为减少重复工作,在多种技术指标中确定哪些是重复和关联的安全需求。这就是作为领导者与 OWASP 协作开发,也称为 通用需求枚举 Common Requirements Enumeration (CRE)。CRE 旨在使用一种公共主题标识符,将标准和指南的各个部分联系起来,这种公共主题标识符的作用是令标准和方案制定者高效工作,令标准使用者能搜索到需要的信息,从而使双方对网络安全有相同的理解。
  • 建一个网站,提供对安全度量仪表盘的免安装访问。再次强调,这将会提供各种来源(包括安全计分卡和 CII 最佳实践)的数据的简单展示。
  • 开发对关键 OSS 项目的识别功能。哈佛大学和 LF 已经做过一些识别关键 OSS 项目的工作。未来一年内,他们会改进方法,添加新的数据来源,从而更好地进行鉴别工作。
  • 资助一些关键的 OSS 项目,提高它们的安全性。预期将关注那些财力不足的项目,帮助这些项目提升整体性能。
  • 识别和实现已改进和简化的技术,用于数字签名的提交和对身份的校验。

跟所有的 Linux 基金会项目一样,OpenSSF 的工作是由其成员决定的。如果你对大家所依赖的 OSS 安全有兴趣,你可以访问 OpenSSF 网站并以某种方式加入它们。参与的最好方式是出席工作组会议——会议每隔一周就举行,而且非常随意。通过合作,我们可以有所作为。欲了解更多信息,可以访问:

https://openssf.org

作者:David A. Wheeler Linux 基金会开源供应链安全总监

本文 首次发表于 Linux 基金会网站

via: https://www.linux.com/news/open-source-security-foundation-openssf-reflection-and-future/

作者:The Linux Foundation 选题:lujun9972 译者:cool-summer-021 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

英特尔为 Linux 开发“软件定义芯片”功能

去年 9 月以来,英特尔一直在正在开发一个允许激活特定 CPU 功能的 Linux 内核驱动,这让人想起十年前的英特尔升级服务,它可以通过软件在某些酷睿 CPU 上激活特定功能。这个 功能 允许通过驱动程序和加密许可证,在特定的 CPU 上单独购买并激活特定的功能。但是英特尔并没有披露他们计划使用该驱动在未来的 CPU 上提供什么样的功能。

老王点评:可能有些人不知道,你购买的芯片中的某些电路其实没有工作的,而通过这个功能,以后就可以有选择性地付钱激活使用了。

黑莓以 6 亿美元出售其移动和信息专利

黑莓将这些围绕黑莓手机、QWERTY 键盘和黑莓信使(BBM)的 专利出售 给一家名为 Catapult 的新公司。在 2018 年黑莓曾将这些专利作为武器来对付 Facebook Messenger。有意思的是,这 6 亿美元的交易提供的资金中有 1.5 亿美元是期票。也就是说这家新公司,有大量的债务,没有产品,也没有现金流。这大概意味着起诉所有它认为侵犯了其新收购的专利资产的公司。

老王点评:没料到黑莓最后所剩不多的遗产居然是专利索赔。

OpenSSF 启动 Alpha-Omega 项目

该项目 已经获得了 500 万美元的启动资金,并得到了包括微软、谷歌等的支持。Alpha-Omega 将系统地寻找开源代码中尚未发现的新漏洞,然后与项目维护者合作,使其得到修复,来提升全球开源软件供应链的安全性。该项目中的 “Alpha” 代表将帮助最关键的开源项目(包括独立项目和核心生态系统服务)的维护者识别和修复安全漏洞。而 “Omega” 则确定至少 10,000 个广泛部署的开源软件项目,将自动安全分析、评分和补救指导等应用于其维护者社区。

老王点评:看起来近来几次开源供应链的事故让业界行动起来了,希望能见到实际的效果。