OpenSSF 获1000万美元投资,提升开源软件和软件供应链安全

最新推荐文章于 2022-09-08 11:37:57 发布
最新推荐文章于 2022-09-08 11:37:57 发布
阅读量226 收藏
点赞数
文章标签: 微软 安全 java 区块链 linux
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247508355&idx=2&sn=1f9e988dfdfb46799df3ef7cbc8a2760&chksm=ea9490e9dde319ffc5de5ca46d9fb8bb7df34958a285d13a62de51c1dcd25fb68230c09fef0d&scene=126&&sessionid=0
版权

9fc3a99e465479b9dea8199fcfbc337f.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

e2a2c1c0a4aed0ea819d38196e07cba6.png

专栏·供应链安全

数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。

为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。

注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。

3417ec0379a54f17e74274adc286bb2f.png

Linux 基金会再次收到1000万美元的基金会,帮助扩展和支持开源安全基金会 (OpenSSF)。该资金将帮助OpenSSF 找到并解决开源软件中的安全漏洞,从而确保软件供应链的安全。该基金会还着手开发最佳实践、工具、培训和漏洞披露实践。

OpenSSF 收到的金融资助来自多家科技巨头如亚马逊、思科、戴尔、Facebook、谷歌、Intel、微软和Oracle。另外其它组织机构也提供了跨行业协作如 Aiven、Cybertrust Japan、Deepfence、DTCC、GitLab、Wind River等。

Linux 基金会的执行总监 Jim Zemlin 表示,“这种泛行业投入是为了回应白宫提升集体网络安全状况的呼吁,以及通过对开源社区的“支付前进”帮助它们创建能让我们所有人受益的安全软件。“

除了提供资助外,OpenSSF 表示开源专家 Brian Behlendorf 将担任总经理。

OpenSSF 不仅是多个项目的诞生地如 Sorecard 和 Best Practices Badge,而且也参与了多个项目的开发如安全策略、软件供应链安全框架、训练计划、漏洞披露、安全审计和研究等。

推荐阅读

欧盟网络安全局发布《供应链攻击威胁全景图》报告(下)

欧盟网络安全局发布《供应链攻击威胁全景图》报告(中)

欧盟网络安全局发布《供应链攻击威胁全景图》报告(上)

开源软件 Nagios 曝11个漏洞,可使IT 基础设施遭接管引发供应链攻击

SushiSwap MISO 遭软件供应链攻击,价值300万美元的以太坊被盗

Apache OpenOffice 漏洞使数千万用户易受代码执行攻击

补丁打补丁:利用3个新漏洞绕过 LibreOffice 2个严重缺陷的补丁

LibreOffice 被曝漏洞,打开文档即导致电脑被黑

Apache OpenOffice更新修复四个漏洞

原文链接

https://www.securityweek.com/openssf-bags-10-million-investment

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

36a4fed29298f51e7331a44b2b34a876.png

475fa438953d1917cbb6666e83e89785.png

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   d77f54b0fe0feefc7d527bfb0d671704.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
当我们在讨论OpenSSF的时候我们在讨论什么?
oe1019的专栏
06-04 415
本文旨在对近日在日常聊天和开源社区工作时候的一些OpenSSF相关话题进行反思。本文的创作目的并不带有批评,攻击等任何意味。只是想通过并不严肃的风格来讨论软件供应链安全相关的这个严肃问题。
探索安全软件开发基础:OpenSSF的实践课程
最新发布
gitblog_00061的博客
06-09 298
探索安全软件开发基础:OpenSSF的实践课程 项目地址:https://gitcode.com/ossf/secure-sw-dev-fundamentals 在这个日益数字化的世界中,软件安全已经成为我们生活的核心。为了帮助开发者构建更加坚固的防线,OpenSSF(开放源代码安全基金会)的最佳实践工作组推出了一个名为“Secure Software Development Fundamenta...
安势信息加入 OpenSSF (开源安全基金会), 共建软件供应链安全
Sectrend的博客
06-14 2007
安势信息很荣幸能成为 OpenSSF 的一员,并期待与 Linux 基金会和 OpenSSF 合作伙伴一起保护世界开源软件安全
wg-security-tooling:OpenSSF安全工具工作组
03-20
OSSF安全工具 欢迎任何人加入我们与小组的任务和章程有关的公开讨论。 客观的 我们的使命是为开源开发人员提供最佳的安全工具,并使其可普遍访问。我们希望创建一个空间,使成员可以一起协作以改进现有的安全工具,并开发新的工具以适应更广泛的开源社区的需求。 想象 我们的愿景是改善对开源软件安全性的认识。 管治 概述了我们小组活动的范围和治理。 通讯技术 。。 会议时间 从8月11日格林威治标准时间16:00每隔一个星期二开会。 会议邀请可以在公共。 进行中的项目 CVE基准测试计划 是在和提出的宣布的。 OSS模糊测试 DAST扫描和Web应用程序定义 主角:西蒙·贝内茨(Simon Bennetts) CodeQL规则
2021年开源软件供应链安全风险研究报告.pdf
08-17
本报告对 2021 年开源软件供应链安全风险进行了深入研究和分析,旨在帮助读者了解开源软件供应链安全风险的现状、趋势和解决方案。本文将从开源软件漏洞发展现状、开源组件生态安全风险、组件漏洞依赖层级传播范围...
开源软件供应链安全风险研究报告
07-05
综上所述,这份研究报告对于理解当前开源软件供应链安全状况至关重要,为软件开发者、企业决策者和安全专家提供了宝贵的洞见,帮助他们更好地评估和应对开源软件带来的安全挑战。同时,通过深入学习这些内容,我们...
2023年中国软件供应链安全分析报告
08-24
《2023年中国软件供应链安全分析报告》深入探讨了国内企业软件开发中面临的供应链安全问题,重点关注了自主开发源代码、开源软件生态及其安全状况,以及典型软件供应链安全风险实例。报告指出,软件供应链安全攻击...
软件供应链安全治理与运营白皮书
02-02
4. 加强软件供应链上游的管理,特别是对开源软件的使用,推广代码疫苗、软件成分分析(SCA)、区块链软件_bill_of_materials(SBOM)等新技术和标准,以提升软件供应链安全性。 白皮书强调,随着人工智能和自动...
精华资料防御软件供应链攻击即软件供应链安全治理解决方案大合集.zip
10-08
标题中的“防御软件供应链攻击”以及“软件供应链安全治理解决方案大合集”明确指出本压缩包资料聚焦于如何防范和管理针对软件供应链的威胁,旨在提供全面的安全治理策略。描述中提到的双层视角——国内与国际,以及...
SAP/ABAP: Smartforms, SSF_OPEN, SSF_CLOSE
王小磊
08-22 6831
转载自:http://mz.bascil.com/sapabap-smartforms-ssf_open-ssf_close#.WZumRp7RUY0 REPORT  zsmart_ssf. DATA : gv_formname TYPE tdsfname VALUE 'ZSMART', gv_fm_name  TYPE rs38l_fnam, gt_01 LIKE pa0001 OCCUR
Python的file()和open()方法的区别
热门推荐
chenpkai的博客
04-24 1万+
Python 提供了必要的函数和方法进行默认情况下的文件基本操作,可以用 file 对象做大部分的文件操作。 常用的打开文件函数为open(),他的用法如下: file object = open(file_name [, access_mode][, buffering]) 各个参数的细节如下: file_name:file_name变量是一个包含了你要访问的文件名称
关于SMARTFORM
昊宇的笔记本
09-04 2592
FORM frm_smf_prt . g_sfname = ‘ZMM_ZYFWRK’. PERFORM get_samrtfroms_fmname USING g_sfname CHANGING g_sffmname. CLEAR: g_sfcontrol. g_sfcontrol-preview = ‘X’. g_sfcontrol-no_open = ‘X’. ...
【智能表】调用控制ssfctrlop参数
markatally的专栏
01-04 1717
原贴地址:http://hi.baidu.com/sap_sky/blog/item/1b46312b6042d4ffe6cd40ce.html  NO_OPEN ---控制smartforms的调用 NO_CLOSE ---控制假脱机系统 例子:      control_parameters-no_close = 'X' . "打开假脱机         if smartfo
OpenSSF的开源软件风险评估工具:Scorecards
分享平台工程、应用部署的最佳实践
08-09 1323
Scorecards 旨在为开源项目自动生成安全指数来帮助项目的使用者和组织做出风险知情的决策。企业正在大量使用开源依赖项,但确定这些依赖项风险仍是一项手动工作。Scorecards 项目旨在采用自动启发式(automated heuristics)和安全检查来减轻负担,最终在0到10的评分表上生成安全指数。它在评估开源软件项目的安全问题时,与安全领导者倡导的最佳实践(如签名或SAST)保持一致。OpenSSF Scorecards对风险严重程度采用分层计分。...
开源社邀请您参加OpenSSF开源安全线上研讨会
开源社KAIYUANSHE的博客
06-22 196
| 转载自:OpenSSF开源安全|编辑:邵佳怡开源软件供应链安全是一项庞大的系统工程,从开发流程管理、最佳安全实践、打造安全工具、漏洞检测和修复到联合应急响应,都需要全球开源生态协同作战。因此,OpenSSF开源安全基金会将携手中国信通院以及华为、腾讯、阿里、中兴、上海安势信息和开源社等合作伙伴一起,诚意邀请大家一起见证以推动中国开源安全为使命的OpenSSF中国开源...
OpenSSF发布npm 最佳实践指南,应对开源依赖风险
分享平台工程、应用部署的最佳实践
09-08 428
开源安全基金会(OpenSSF)发布了,以帮助 JavaScript 和 TypeScript 开发人员降低使用开源依赖项相关的安全风险。OpenSSF Best Practice Group 发布的 npm 最佳实践指南,重点关注 npm 的依赖管理和供应链安全,涵盖各个领域,例如如何设置安全的 CI 配置、如何避免依赖混淆以及如何应对劫持依赖导致的后果。随着开发人员越来越多地共享和使用依赖项,依赖项在促进更快地开发和创新的同时,带来的风险也随之增加。
OpenSSL 的使用详解
weixin_34102807的博客
09-23 7486
OpenSSL 是一个开源项目,其组成主要包括一下三个组件:openssl:多用途的命令行工具libcrypto:加密算法库libssl:加密模块应用库,实现了ssl及tlsopenssl可以实现:秘钥证书管理、对称加密和非对称加密。1、对称加密对称加密需要使用的标准命令为 enc ,用法如下:opensslenc-ciphername[-in...
《SBOM实践指南》:强化软件供应链安全
它强调了软件供应商在确保软件完整性和安全性方面的责任,并提供了管理开源软件和SBOM(Software Bill of Materials)的标准。 **SBOM(Software Bill of Materials)** SBOM是一份详细记录了软件组件及其依赖关系...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值