聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
引言
美国联邦政府最近发布的关于开源软件安全的信息请求 (RFI) 是值得关注的开源软件 (OSS) 进展。为提升OSS安全性,开源软件安全倡议 (OS3I) 跨部门工作组创建了这份 RFI。本博客内容旨在对RFI进行简述。
RFI 概述
RFI 是为了收集信息和改进OSS安全洞见的倡议。回复时间截止到2023年10月9日,回复者无需回答所有问题,最好是就自己有一些专业知识或想法的部分进行评论。回复者也可就RFI未涉及的问题进行额外评论。虽然RFI 给出了可能的关注点,但可能存在 OS3I 未在 RFI 列举但对OSS 安全至关重要的领域。回复将提交至白宫国家网络总监办公室 (ONCD) 及其OS3I 中的合作伙伴。
RFI 开头提出了大量问题,如:
美国联邦政府应如何解决开源软件中最重要的系统性风险?
美国联邦政府应如何培养开源软件社区的长久可持续发展?
从技术和资源角度来看,应如何执行OSS安全解决方案?
应该优先处理哪些事项?
可能的关注领域
RFI 认为可能的关注领域如下:
保护开源软件基础的安全:如促进对内存安全编程语言的采用、大规模减少漏洞总数、增强软件供应链安全以及开发者教育等。
支持开源软件社区和治理。
发布行为和经济激励措施,保护开源软件生态系统安全。
研发/创新。
国际协作。
回复者可提出其它领域的建议。例如,我们了解到关于更广范围的教育(而不仅仅是开发者)以及事件响应提升的讨论。
RFI 向所有人员开放,其广泛范围应当允许多种利益相关者的多样化输入。我们还注意到,RFI 与OSS 社区的一些现有倡议相关如增加对内存安全编程语言的使用。
积极参与
美国联邦政府发布的OSS RFI 是一项重要的倡议,旨在了解并增强OSS安全布局。它为多种利益相关者(也包括你在内)提供了分享洞察、经验和建议的机会。全球政府都依赖于OSS,我们认为各国政府具有的资源和能力能够让OSS安全为每个人变得更好。
Linux 基金会认为,OSS 安全至关重要。2020年,我们和会员单位一起组建了开源安全基金会 (OpenSSF)。OpenSSF 旨在通过多种措施提升OSS安全。例如,OpenSSF 为开发人员提供了免费的教育材料、多种指南和 sigstore(用于数字签名和验证)。我们能做的不止这些,很高兴会员们对这一重要主题感兴趣。OpenSSF 已经和多国政府一道,找出协作改进OSS安全的方法。OpenSSF 计划回应该RFI,希望你也能这样做!
不管是个人开发者,还是组织机构或者对这一领域感兴趣的人员,RFI 都为您提供了参与OSS安全未来相关的有意义的对话机会。
RFI 详情可见:
https://www.federalregister.gov/documents/2023/08/10/2023-17239/request-for-information-on-open-source-software-security-areas-of-long-term-focus-and-prioritization。
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~