旧金山,17 年 2022 月 XNUMX 日 — 开源安全基金会 (OpenSSF) 是一个由 Linux 基金会主办的跨行业组织,汇集了世界上最重要的软件供应链安全倡议,周三宣布了来自领先的金融服务、技术、就业、软件开发、网络安全、电信和学术部门。
新的主要成员 Capital One 加入了 OpenSSF 管理委员会。 新的一般会员承诺来自 Akamai、Indeed、Veeam 的 Kasten、Scantist、SHE BASH、Socket Security、Sysdig、Timesys 和中兴通讯。 新的准成员包括 Eclipse 基金会、普渡大学和 TODO 集团。 “我们很高兴欢迎新成员加入 OpenSSF,”OpenSSF 总经理 Brian Behlendorf 说。 “随着开源软件安全漏洞不断引起世界各国政府和企业的关注,人们对 OpenSSF 工作的兴趣也在迅速增加。”
“越来越多的组织、开发人员、研究人员和安全专业人员社区正在投入时间和资源来加强开源安全,”OpenSSF 董事会主席兼 IBM 企业安全主管 Jamie Thomas 说。 “在比以往任何时候都更需要跨行业协作和创新来主动应对普遍存在的网络安全威胁的时候,OpenSSF 的新成员正在加入。”
解决导致诸如 Log4shell 事件等重大安全漏洞的系统性问题强调了 OpenSSF 工作的紧迫性和重要性。 网络安全审查委员会最近的一份报告称,Log4j 已成为一个“地方性漏洞”,将在未来几年内被利用,并且 10点动员计划 OpenSSF 在今年早些时候的开源软件安全峰会 II 上介绍了开源软件的弹性和安全性。
OpenSSF 将于 13 月 XNUMX 日星期二在 OpenSSF 日欧盟 在都柏林举行的欧洲开源峰会(OSS EU)前夕。 工作组领导和社区成员将主持会议、小组讨论和炉边谈话,讨论正在进行的工作,以保护软件供应链和开源安全的未来。 注册 所有参加 OSS EU 的人员均可免费参加。
尊贵会员报价
Capital One公司
“今天,为客户创造的一些最具开创性的数字体验是基于开源软件的。 作为一家广泛采用这项技术的公司,Capital One 非常自豪能够加入 OpenSSF 和世界技术领导者的行列,共同加强软件安全供应链。 作为一家高度监管的公司,我们在管理合规性和治理方面经验丰富,并倡导标准化、自动化和协作。 我们期待着共同确定推进 OpenOSSF 使命并回馈开源社区的解决方案。”
- Capital One 云与生产力工程执行副总裁 Chris Nims
一般会员行情
Akamai的
“提高开源软件的安全性——对于互联网生态系统如此重要——是我们今天面临的最关键的安全挑战之一。 只有获得对网络和软件供应链的可见性,我们才能在代码级别出现安全漏洞时可靠地解决它们。 技术社区必须用财政和技术资源支持我们所依赖的开源社区,以限制我们的集体风险. 作为领先的安全和云服务提供商,我们期待为开源安全基金会做出贡献,并帮助推进这项重要工作。”
- Akamai 执行副总裁兼首席技术官 Robert Blumofe
Veeam 的 Kasten
“我们很荣幸成为开源安全基金会 (OpenSSF) 的一员,并与我们的同行一起支持这一倡议。 Kasten by Veeam 拥有开源传统,并且以 Kubernetes 数据保护作为我们的核心产品,安全性仍然是 Kasten K10 设计和实施的关键基础。 随着 Kubernetes 的采用继续推动企业的数字化转型之旅,人们理所当然地将更多的注意力放在了安全性上,尤其是随着勒索软件攻击势不可挡的兴起。 Kasten by Veeam 致力于确保云原生环境的安全性和数据保护,以更好地保护业务应用程序。”
- Gaurav Rishi,Kasten by Veeam 产品和合作伙伴关系副总裁
扫描主义者
“一方面,软件行业从开源的快速增长中受益匪浅,开源已成为数字世界的基本组成部分。 另一方面,开源安全变得越来越重要,所有这些风险都因开源的相互依存性而倍增。 现在作为 OpenSSF 的一员,我们希望根据我们最近对开源生态系统分析的研究为 OpenSSF 的使命做出贡献,以提供一个量化的视角来理解开源的复杂性和安全性。 我们希望成为东南亚 OSS 治理的积极参与者、布道者和大使,以促进开源软件供应链安全。”
- 刘洋博士,新加坡南洋理工大学教授、Scantist联合创始人
她猛击
“自我们成立以来,SHE BASH 目睹了各种掠夺性行业做法,这些做法通过封闭源的保护面纱免受广泛审查。 在我们的核心,开源软件是一个公共机构,它使每个人都能建立自己的未来。
“几十年的冷漠与维持‘不在乎’文化的激励机制相结合,使我们的公司在科技界最大和最有罪的公司中脱颖而出。 我们一直认为“最佳实践优先”是我们作为一家公司可以提供的主要价值主张之一,尽管它很小。 开源软件为我们提供了一个公平的竞争环境,可以在公共部门的关键技术转变中产生差异,而这些转变的演变是从维持当今所有软件生命的开源中诞生的最佳实践的发展。 能够为 OpenSSF 正在导致纠正因数十年忽视而产生的重大结构性错误的工作提供帮助是一种真正的荣幸。”
- Cameron Banowsky,SHE BASH 联合创始人兼 CTØ
套接字安全
“作为每月安装超过 1 亿次的开源软件包的维护者,Socket 团队非常熟悉开源依赖使用量的大幅增长。 现代应用程序使用由数百名维护人员编写的数千个依赖项,即使安装一个包也会导致数十个传递依赖项随之而来。 不幸的是,坏人很容易渗入软件供应链并造成严重破坏。 这就是为什么 Socket 很自豪能加入 OpenSSF 并尽我们的一份力量,通过我们行业领先的软件组合分析方法为每个人提供安全的开源代码,数千家公司使用该方法来检测和预防供应链攻击。 Socket 团队很高兴能与其他 OpenSSF 成员公司合作,为所有人保护开源生态系统。”
- Feross Aboukhadijeh,Socket Security 创始人兼首席执行官
系统数据
Sysdig 很自豪能成为 OpenSSF 的一部分,并共同努力帮助指导开源安全标准并保护软件供应链。 作为一家建立在开源基础上的云安全公司,我们相信业界必须团结起来,为共同利益加强软件。 在创建 Falco 并将其贡献给 CNCF 以帮助确保运行时,我们期待在 OpenSSF 中继续开放合作。 安全的未来是开放的,我们现在所做的将永远塑造软件。”
- Sysdig 开源生态系统副总裁 Edd Wilder-James
时代系统
“随着软件供应链违约率超过 650%,保护软件供应链是一大重点。 5 年多来,我们一直致力于开发技术,以帮助保护、监控和维护基于开源的嵌入式 Linux 和 Android 设备免受暴露和漏洞的影响。 我们很高兴能与 OpenSSF 一起参与这个社区工作,并再次成为 Linux 基金会的一员。 通过共享技术和合作建立加速开源技术开发的生态系统,世界各地的设备制造商和消费者将能够更轻松地知道他们是安全的。”
- Timesys 首席执行官 Atul Bansal
中兴通讯
“我们很高兴加入 OpenSSF。 作为世界领先的通信设备制造商,我们使用的开源软件越来越多。 在积极拥抱开源软件的同时,也给软件供应链安全带来了前所未有的风险。 中兴通讯在控制和管理风险方面做出了很多努力,并将其作为我们的首要任务。 加入 OpenSSF 后,中兴通讯与一群志趣相投、目标相近的成员共同推动开源软件供应链向更安全的方向发展。”
- 中兴通讯OSS合规与安全治理总监向书明
更多资讯
关于 OpenSSF
开源安全基金会 (OpenSSF) 是一个由 Linux 基金会主办的跨行业组织,它汇集了业界最重要的开源安全计划以及支持这些计划的个人和公司。 OpenSSF 致力于与上游和现有社区进行协作和合作,以促进所有人的开源安全。 欲了解更多信息,请访问我们: opensf.org.
关于 Linux 基金会
Linux 基金会成立于 2000 年,其项目得到 2,950 多名成员的支持。 Linux 基金会是全球领先的开源软件、硬件、标准和数据协作之家。 Linux Foundation 项目对全球基础设施至关重要,包括 Linux、Kubernetes、Node.js、ONAP、Hyperledger、RISC-V 等。 Linux 基金会的方法侧重于利用最佳实践并满足贡献者、用户和解决方案提供商的需求,以创建开放式协作的可持续模型。 欲了解更多信息,请访问我们 linuxfoundation.org.
