亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

2022年開源安全邁出了一大步。開源安全不僅是今年各大網(wǎng)絡安全會議議程的重中之重，業(yè)界還推出了大量相關措施、項目和指南，以期提高開源代碼、軟件和開發(fā)的網(wǎng)絡彈性。

Linux基金會開源供應鏈安全主管David A. Wheeler指出：提高開源安全性極為重要，因為世界正運行在軟件之上。最新研究表明，今天的應用程序平均70%到90%的源代碼都來自開源軟件(OSS)組件，如果OSS容易受到攻擊，就會出現(xiàn)嚴重問題。”

以下，是2022年八個值得關注的開源安全計劃（按時間順序）。

白宮開源安全峰會

1月，白宮召集政府和私營部門討論提高開源軟件安全性的舉措。會議參與者包括負責網(wǎng)絡和新興技術的國家安全副顧問Anne Neuberger和國家網(wǎng)絡總監(jiān)Chris Inglis，以及來自Akamai、亞馬遜、蘋果、微軟、Cloudflare、Facebook/Meta、Linux基金會、開源安全基金會等科技公司的代表。

“與會者就如何在開源軟件的安全性方面產(chǎn)生影響，同時有效地參與和支持開源社區(qū)進行了實質(zhì)性和建設性的討論，”白宮的一份宣讀報告稱：“討論集中在三個主題：防止代碼和開源包中的安全缺陷和漏洞，改進發(fā)現(xiàn)和修復漏洞的過程，以及縮短分發(fā)和實施修復程序的響應時間。”

白宮聲稱，所有參與者將在未來幾周繼續(xù)討論以支持這些舉措，這些舉措對所有感興趣的公共和私人利益相關者開放。

OpenSSF、Linux基金會發(fā)布開源軟件安全動員計劃

5月，OpenSSF和Linux基金會發(fā)布了開源軟件安全動員計劃，提出了十大戰(zhàn)略，其中包括在開源軟件中針對底層組件和操作進行短期和長期改進的步驟。它的三個核心安全目標是：

• 通過專注于防止代碼和開源包中的安全缺陷和漏洞來保護開源軟件的開發(fā)。
• 通過改進發(fā)現(xiàn)和修復缺陷的流程來改進漏洞的發(fā)現(xiàn)和修復。
• 通過加快修復補丁的分發(fā)和實施來縮短生態(tài)系統(tǒng)修補響應時間。

“廣泛部署的軟件中的漏洞對現(xiàn)代社會的安定構成了系統(tǒng)性威脅，因為政府服務、基礎設施提供商、非營利組織和絕大多數(shù)私營企業(yè)都依賴軟件來運作，”O(jiān)penSSF寫道：“是時候?qū)踩罴褜嵺`應用于整個軟件生態(tài)系統(tǒng)，包括開源，包括更全面的一系列投資，將安全性從被動方法轉變?yōu)橹鲃臃椒ā！?/p>

JFrog推出Pyrsia項目，以保護開源軟件包、二進制代碼

5月，JFrog宣布推出Pyrsia項目（Project Pyrsia），這是一個去中心化的、網(wǎng)絡和軟件安全開發(fā)包存儲庫，它使用區(qū)塊鏈技術來保護開源軟件包免受漏洞和惡意代碼的影響。該公司表示，該項目旨在幫助開發(fā)人員為其軟件組件建立來源鏈，從而確立信心和信任。“使用Pyrsia，開發(fā)人員可以放心地使用開源軟件，因為他們知道框架中的組件沒有受到損害，而無需開發(fā)、維護或操作復雜的流程來安全地管理依賴項。”JFrog指出，該框架將有助于提供：

• 用于開源軟件的獨立、安全的開發(fā)網(wǎng)絡
• 軟件包的可信度
• 已知開源軟件依賴項的完整性

“在JFrog，我們相信只有為社區(qū)提供與企業(yè)相同的工具和服務，開源安全才會成功，”JFrog開發(fā)人員關系副總裁Stephen Chin評論道：“開源、可定制的架構和壯大、活躍的社區(qū)相結合，使Pyrsia成為獲取安全軟件包的最透明和最值得信賴的方式。”

OpenUK啟動開源安全之夏

6月，OpenUK推出了“開源安全之夏”，這是一項為期兩個月的計劃，其中包括專門針對開源軟件安全和供應鏈管理的活動、講座和播客。對話聚焦全球政府和企業(yè)在基于開源軟件的國家關鍵基礎設施方面的定位，以及開源軟件的維護、防護和管理。

GitGuardian宣布ggcanary項目來檢測開源軟件風險

7月，代碼安全平臺提供商GitGuardian宣布啟動一個開源項目（ggcanary），以幫助組織檢測受損的開發(fā)人員和DevOps環(huán)境。該公司表示，ggcanary項目旨在幫助企業(yè)更快地發(fā)現(xiàn)漏洞，并具有以下功能：

• 基于Terraform，使用HashiCorp開發(fā)的流行的基礎設施即代碼軟件工具來創(chuàng)建和管理AWS的canary令牌
• 高度敏感的入侵檢測，使用AWS CloudTrail審計日志來跟蹤攻擊者對canary令牌執(zhí)行的所有類型的操作
• 部署在組織內(nèi)部邊界、源代碼存儲庫、CI/CD工具、工單和消息傳遞系統(tǒng)（如Jira、Slack或Microsoft Teams）中的多達5000個活動AWS canary令牌的可擴展性
• 自身的警報系統(tǒng)與AWS簡單電子郵件服務(SES)、Slack和SendGrid集成。用戶還可以將其擴展為向SOC、SIEM或ITSM轉發(fā)警報

谷歌推出開源軟件漏洞賞金計劃

8月，谷歌啟動了開源軟件漏洞獎勵計劃(OSS VRP)，以獎勵在谷歌的開源項目中的漏洞發(fā)現(xiàn)。在一篇博客文章中，谷歌指出OSS VRP計劃鼓勵安全研究人員報告谷歌產(chǎn)品組合的開源軟件中具有重大影響的漏洞，范圍如下：

• 存儲在谷歌GitHub公共存儲庫中的所有最新版本的開源軟件（包括存儲庫設置）
• 這些項目的第三方依賴項（在提交到Google的OSS VRP之前需要事先通知受影響的依賴項）

“最高獎項將頒發(fā)給在最敏感項目中發(fā)現(xiàn)的漏洞，這些項目包括：Bazel、Angular、Golang、Protocol buffers和Fuchsia。”谷歌表示，為了集中精力發(fā)現(xiàn)對供應鏈影響最大的發(fā)現(xiàn)，它歡迎提交：

• 導致供應鏈受損的漏洞
• 導致產(chǎn)品漏洞的設計問題
• 其他安全問題，例如敏感或泄露的憑據(jù)、弱密碼或不安全的安裝

谷歌表示，漏洞獎金范圍從100美元到31337美元不等，具體取決于漏洞嚴重程度和項目重要性。

CISA、NSA發(fā)布開源軟件供應鏈安全指南

8月，美國網(wǎng)絡安全和基礎設施安全局(CISA)和美國國家安全局(NSA)發(fā)布了開源軟件供應鏈安全指南，建議開發(fā)人員如何更好地保護美國軟件供應鏈，重點關注開源軟件。

“開發(fā)者應該使用專門的系統(tǒng)來下載、掃描和執(zhí)行對開源庫的定期檢查，以查找新版本、更新以及已知或新漏洞，”該指南中寫道：“與所有軟件一樣，我們強烈建議對開發(fā)人員進行有關使用開源軟件、閉源軟件以及最佳緩解措施和注意事項的教育。”

管理團隊還應建立、管理和應用與開源軟件相關的發(fā)布標準，該指南補充說，應確保所有開源軟件的發(fā)布都符合公司范圍的標準，包括源代碼的漏洞評估。

OpenSSF發(fā)布npm最佳實踐，幫助開發(fā)者應對開源依賴風險

9月，OpenSSF發(fā)布了npm最佳安全實踐指南，以幫助JavaScript和TypeScript開發(fā)人員降低與使用開源依賴項相關的安全風險。該指南出自OpenSSF最佳實踐工作組之手，側重于npm的依賴項管理和供應鏈安全，涵蓋了各個領域，例如如何設置安全的CI配置、如何避免依賴項混淆以及如何降低依賴項被劫持造成的損失。

Linux基金會的Wheeler表示，開發(fā)人員使用開源組件帶來的最大安全風險是低估了直接和間接依賴項中的漏洞的潛在影響。“任何軟件都可能存在缺陷，如果不小心，可能會嚴重影響使用它的供應鏈。很多時候，許多依賴項是不可見的，開發(fā)人員和組織很難確保堆棧的所有層都不出問題。解決方案不是因噎廢食停止重用軟件，而是審慎明智地重用軟件，隨時準備好在發(fā)現(xiàn)漏洞時更新組件。”

來源：GoUpSec