关于美国政府发布的开源软件安全RFI,你需要知道的都在这里
2023-9-5 18:11:59 Author: mp.weixin.qq.com(查看原文) 阅读量:8 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

近日,Linux 基金会就白宫发布的关于开源软件安全的信息请求进行了简述。如下是对博客文章的翻译。
01

引言

美国联邦政府最近发布的关于开源软件安全的信息请求 (RFI) 是值得关注的开源软件 (OSS) 进展。为提升OSS安全性,开源软件安全倡议 (OS3I) 跨部门工作组创建了这份 RFI。本博客内容旨在对RFI进行简述。

02

RFI 概述

RFI 是为了收集信息和改进OSS安全洞见的倡议。回复时间截止到2023年10月9日,回复者无需回答所有问题,最好是就自己有一些专业知识或想法的部分进行评论。回复者也可就RFI未涉及的问题进行额外评论。虽然RFI 给出了可能的关注点,但可能存在 OS3I 未在 RFI 列举但对OSS 安全至关重要的领域。回复将提交至白宫国家网络总监办公室 (ONCD) 及其OS3I 中的合作伙伴。

RFI 开头提出了大量问题,如:

  • 美国联邦政府应如何解决开源软件中最重要的系统性风险?

  • 美国联邦政府应如何培养开源软件社区的长久可持续发展?

  • 从技术和资源角度来看,应如何执行OSS安全解决方案?

  • 应该优先处理哪些事项?

03

可能的关注领域

RFI 认为可能的关注领域如下:

  • 保护开源软件基础的安全:如促进对内存安全编程语言的采用、大规模减少漏洞总数、增强软件供应链安全以及开发者教育等。

  • 支持开源软件社区和治理。

  • 发布行为和经济激励措施,保护开源软件生态系统安全。

  • 研发/创新。

  • 国际协作。

回复者可提出其它领域的建议。例如,我们了解到关于更广范围的教育(而不仅仅是开发者)以及事件响应提升的讨论。

RFI 向所有人员开放,其广泛范围应当允许多种利益相关者的多样化输入。我们还注意到,RFI 与OSS 社区的一些现有倡议相关如增加对内存安全编程语言的使用。

04

积极参与

美国联邦政府发布的OSS RFI 是一项重要的倡议,旨在了解并增强OSS安全布局。它为多种利益相关者(也包括你在内)提供了分享洞察、经验和建议的机会。全球政府都依赖于OSS,我们认为各国政府具有的资源和能力能够让OSS安全为每个人变得更好。

Linux 基金会认为,OSS 安全至关重要。2020年,我们和会员单位一起组建了开源安全基金会 (OpenSSF)。OpenSSF 旨在通过多种措施提升OSS安全。例如,OpenSSF 为开发人员提供了免费的教育材料、多种指南和 sigstore(用于数字签名和验证)。我们能做的不止这些,很高兴会员们对这一重要主题感兴趣。OpenSSF 已经和多国政府一道,找出协作改进OSS安全的方法。OpenSSF 计划回应该RFI,希望你也能这样做!

不管是个人开发者,还是组织机构或者对这一领域感兴趣的人员,RFI 都为您提供了参与OSS安全未来相关的有意义的对话机会。

RFI 详情可见:

https://www.federalregister.gov/documents/2023/08/10/2023-17239/request-for-information-on-open-source-software-security-areas-of-long-term-focus-and-prioritization

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

在线阅读版:《2023中国软件供应链安全分析报告》全文

奇安信入选全球《软件成分分析全景图》代表厂商

奇安信入选全球《静态应用安全测试全景图》代表厂商

OpenSSF发布4份开源软件安全指南,涉及使用、开发、漏洞报告和包管理等环节

OpenSSF 发布NPM供应链最佳实践指南

OpenSSF 获1000万美元投资,提升开源软件和软件供应链安全

原文链接
https://openssf.org/blog/2023/08/25/what-you-need-to-know-about-the-us-federal-governments-rfi-on-open-source-software-security/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247517551&idx=1&sn=93963f8732fec9933bef958c4700e81a&chksm=ea94b405dde33d13f46130eef5bedb6639dcd942e8a39a702915016722232f021dc712f73b32&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh