科技巨头每年向开源安全基金会投入 1000 万美元

Linux 基金会已收到来自技术、金融、电信和网络安全行业的 1000 万美元年度承诺，用于保护软件供应链。经常性投资将针对开源安全基金会 (OpenSSF)，这是 Linux 基金会于去年 8 月发起的跨行业合作计划，并将由其大部分成员组织提供资金，包括亚马逊、Facebook、谷歌、微软、爱立信、摩根大通、红帽、戴尔和甲骨文。

宣布这一消息之际，供应链攻击已经达到顶峰，导致乔·拜登总统在 5 月份发布了一项行政命令，概述了改善国家网络安全防御的各种措施，包括保护联邦信息系统中使用的开源软件。

开源先驱布赖恩·贝伦多夫(Brian Behlendorf) 是现在无处不在的 Apache Web 服务器的主要创建者，现在也将作为全职总经理领导 OpenSSF，首先负责建立“有效的协作社区”。

“我的工作将始终是将在 OpenSSF 上汇聚的个人和组织的能量、热情和资源引导到一个社区、我们现有的工作组和项目中，并在机会和需求出现时创建新项目，”Behlendorf 说风险投资。

攻击逆流而上

虽然有充分的证据表明开源代码库包含无数漏洞，但随着企业开发人员在使他们的软件与最新组件保持同步方面有所改进，这显然导致攻击者更进一步“上游”接近源代码的起源。这样，“坏代码”可以传播到更下游的更广泛的供应链。Sonatype是一个软件组合分析 (SCA) 平台，公司用来扫描其代码库以查找安全性和合规性不足的软件组合分析 (SCA) 平台最近的一份报告发现，这些所谓的“下一代”软件供应链攻击在 2021 年增加了 650%。

“对流行开源代码的攻击正在上升，”Behlendorf 说。“如果一个流行的开源组件中发现了一个新的漏洞，成千上万的组织可能会同时通过该攻击媒介变得脆弱。”

最近，开源安全活动显着增加，尤其是在严重依赖开源库和组件的“大科技”内部。例如，今年早些时候，谷歌透露将资助Linux 内核开发人员，然后再公布一项 100 亿美元的网络安全承诺，以支持拜登总统的行政命令。在接下来的几个月里，这家互联网巨头透露，它正在赞助开源技术改进基金 (OSTIF)，该基金负责对选定的关键开源软件项目进行安全审查。几周前，谷歌承诺了 100 万美元到新的 Linux 基金会开源安全奖励计划。

根据 Behlendorf 的说法，OpenSSF 在其运营的第一年获得的资金很少，这“甚至不接近”它需要产生任何有意义的影响。

“这项新的努力弥补了这一点，”贝伦多夫说。“在第一年，它 [OpenSSF] 能够建立六个关键工作组，专注于提供围绕安全编码实践的教育，以及改进开源软件漏洞的自动化、优先排序和修复——新的资金将进一步加强每个工作组这些努力并支持组建额外的工作组。”

除了现在可支配的 1000 万美元现金注入之外，OpenSSF 最引人注目的可能是它从一些世界上最大的公司那里获得的跨行业投入。这在很大程度上表明了开源软件的普及程度——绝大多数软件至少包含一些开源组件，其固有的漏洞表明它所使用的行业没有歧视。简而言之，开源软件影响着每一个人。

“开发人员不再 100% 从头开始​​编写他们的应用程序，现在严重依赖这些开源软件组件来更快地将新功能推向市场，”Behlendorf 说。“业界已经认识到，并非所有开源组件都是平等的，它们必须仅在其应用程序中包含最安全、最高质量的开源组件。”