开源要安全！Linux基金会、GitHub、GitLab、Google联合起来了

编译 | 胡雨晴，责编 | 唐小引
出品 | CSDN开源实验室
头图 | 视觉中国
今天，开源已经成为了全球技术应用的基础设施，据 Gartner 调查显示，99% 的组织在其 IT 系统中都使用了开源软件。不过，与此相伴的是一直以来开源的安全风险都是许多企业及开发者担忧的所在。据此前安全公司 WhiteSource 发布的报告统计，在过去的一年里，开源安全漏洞的数量再破记录，同比增长近 50%。
解决开源的安全问题迫在眉睫，全球最大的代码托管平台 GitHub 便一直在努力，其官方表示，开源的安全性对软件的未来至关重要，在 2019 年 GitHub 收购了 Dependabot 和 Semmle，并将这些安全工具免费提供给公共存储库，同时，GitHub 还通过创建 GitHub Security Lab 和 Open Source Security Coalition 来支持开源开发者和维护者的安全工作，截至目前，这些举措已经帮助在开源软件中发现了 120 多个 CVE。
现在，我们在保护开源安全性上迎来了更强有力的保障。
近日，Linux 基金会联合包括微软与 GitHub、Google、IBM、红帽（Red Hat）、英特尔（Intel）、VMware、优步（Uber）等在内的多家软硬件企业一起，共同成立了 Open Source Security Foundation（开源安全基金会，简称 OpenSSF），OpenSSF 官方表示，这是一项跨行业的协作，将行业领导者们聚集在一起，通过建立具有针对性的计划和最佳实践的更广泛的社区，以提升开源软件的安全性。
OpenSSF 官方表示，开源软件已在当今的技术中变得普遍，从数据中心到消费者设备，其使用范围广泛。但由于大多数开源软件项目都非常复杂，贡献者和依赖项的链条很长，很难保证安全性。因此，公司迫切需要了解和验证这些依赖链的安全性。OpenSSF 将联合各行业的领导者，致力于与上游及现有社区的协同合作，为开源软件安全保驾护航。
Linux 基金会原先成立的核心基础设施计划以及 Github 创立的开源安全联盟将与 OpenSSF 的工作进行整合，成为 OpenSFF 的一部分，为开源安全提供统一的社区。除此以外，OpenSFF 汇集了业界支持这些计划的个体和公司，包括董事会创始成员 GitHub、谷歌（Google）、IBM、JP 摩根公司（JPMorgan Chase）、微软（Microsoft）、NCC 集团、OWASP 基金会和红帽（Red Hat）等。
其他创始成员还有 ElevenPaths、GitLab、HackerOne、英特尔（Intel）、Okta、Purdue、SAFECode、StackHawk、Trail of Bits、优步（Uber）和 VMware。
尤其值得关注的是，新的基金会在治理、技术社区及决策方面将是透明的，其治理结构包括理事会技术咨询委员会以及对各个工作组和项目的单独监督，开发的任何项目将与供应商无关。接下来，OpenSSF 将核心围绕漏洞披露、安全工具、识别开源项目的安全威胁、安全最佳实践、开发者身份验证等展开工作。
Linux 基金会执行董事 Jim Zemlin 这样说道：“我们认为开源是一种公共物品，每个行业中都有责任共同努力，以改善和支持我们所依赖的开源软件的安全性。” 他表示，“确保开源安全是我们能做的最重要的事情之一，它需要世界各地的所有人共同努力。OpenSSF 将为达成此目标推动跨行业的合作。”
同时，Microsoft Azure 首席技术官 Mark Russinovich 还表示：“由于开源现在已成为几乎每个公司的技术战略的核心，因此，保护开源软件是确保每个公司（包括我们自己的公司）供应链安全的重要组成部分。与所有开源软件一样，建立更好的安全性是社区驱动的过程。微软公司的所有人都为成为开源安全基金会的创始成员而感到兴奋，我们期待与社区合作，以创建对我们所有人都有帮助的新安全解决方案。”
相关资料：

• Technology and Enterprise Leaders Combine Efforts to Improve Open Source Security
  
• GitHub joins the Open Source Security Foundation
  
• The State of Open Source Security