供应链安全在2022年OpenJS世界大会上占据中心位置

在2022年OpenJS世界大会上，开源安全基金会概述了两个雄心勃勃的倡议，以修复开源软件的供应链安全问题。

德克萨斯州奥斯汀 -- 从严重的漏洞到受损的开发者声誉，供应链安全是每个人的问题。

为了解决这个问题，开源安全基金会（OpenSSF）制定了雄心勃勃的计划，从Node.js开始，为每个主要的开源项目实施核心安全实践，OpenSSF总经理Brian Behlendorf在他的OpenJS World主题演讲中说。

开源软件是一个多样化的空间，需要一个广泛的供应链安全方法。在过去的几年里，出现了许多重大的开源漏洞，如2020年影响到数千家企业和政府机构的Solar Winds，以及去年12月开始影响到数百万个应用程序的Log4j漏洞。

OpenSSF是一个由Linux基金会支持的改善开源软件安全的跨行业合作，它希望通过两个主要项目加强供应链安全。Alpha-Omega，致力于开源安全团队的广泛采用，以及开源软件安全动员计划，该计划诞生于防止未来出现Log4j规模的灾难的愿望。OpenSSF表示，新的安全计划将使Java生态系统中的所有开发人员受益，因为他们将不得不减少对代码漏洞的担忧。

根据一份新闻稿，它从Node.js开始，因为它的普遍性和高危性得分，这是OpenSSF安全专家对影响力和重要性的衡量。

Behlendorf说，这些措施还可以防止名誉受损。例如，Log4j开发人员因该漏洞受到了不公平的指责。

"他说："当你成为一个你不应该得到的东西的海报儿童时，这真的很糟糕。

项目的目标是为所有人提供全面的安全

Behlendorf说，OpenSSF Alpha-Omega项目有两个主要目标：扫描每个主要的开放源码库的漏洞，并资助那些没有核心安全实践的关键项目，如专门的安全团队。

该项目从谷歌和微软获得了500万美元的初始投资。首批获得资助的地方之一是Node.js社区，它将获得30万美元的资金，以加强其核心安全实践。Chainguard公司的创始人兼首席执行官、OpenSSF技术顾问委员会成员、软件工程师Dan Lorenc说，像所有大型开源项目一样，Node.js存在安全问题，而且没有足够的人去解决这些问题。

Alpha-Omega计划旨在通过雇用安全专家来解决这个问题，这些专家可以在漏洞被利用之前解决这些漏洞。他说，钱就在那里，所以现在的问题是要弄清楚OpenSSF如何使安全实践具有可扩展性，以便它可以作为安全模板应用于每个主要的开源项目。

然而，Constellation Research的副总裁兼分析师Holger Mueller并不确定30万美元是否能解决Node.js的重大供应链安全问题。"我们将拭目以待，"他说。

但Lorenc并不追求完美。"我们永远不会修复它，因为所有的代码都有bug，"他说。"我们只是要让它变得更好。"

Log4j带来了开源安全动员计划

OpenSSF路线图上的第二个项目是开源安全动员计划，它是由Log4j漏洞引发的。Behlendorf说，当OpenSSF调查该漏洞时，它意识到第三方审计可能会发现的漏洞被遗漏，例如允许解析不受信任的用户输入格式字符串的代码。

Behlendorf说，通常情况下，OpenSSF在促进开发方面扮演着被动的角色，但Log4j事件的结果产生了激励作用，使其更加自上而下，通过正面解决安全问题来影响开发者社区。

该倡议的重点是在一个十点计划中投资1.5亿美元，包括教育、风险评估和组建事件响应小组等项目。到目前为止，亚马逊、谷歌和微软等公司已经为该倡议集体认捐了3000万美元。Behlendorf说，但资金究竟将被分配到哪里，还在进行中。

Constellation Research的Mueller说，他很高兴看到开源社区专注于安全卫生。

他说："提高供应链安全是一个新的方面，是通过艰苦的方式学到的，"。