Node.js被选中做什么?
中国时间2022年4月19日,OpenSSF在其网站上宣布,Node.js被选中作为OpenSSF的Alpha-Omega项目的首个提升安全性的开源项目。换个通俗说法:OpenSFF的目标是提升开源软件的安全性,Node.js被他们选中了,用来作为提升安全性的帮扶对象。
OpenSSF是何方神圣?
Open Source Security Foundation,开源软件安全基金会,2020年由Linux基金会发起创立,致力于提升开源软件的安全性。其董事会成员包括:Github、Google、IBM、JPMorgan Chase、Microsoft、NCC Group、OWASP Foundation、Red Hat。基金会会员很多都是骨灰级的IT大公司,可谓众星璀璨,截止到目前,会员被分成以下几类:
- “Premier”会员25个(第一梯队),均是世界顶级的IT科技公司,我们国家的华为也在其中;
- “General”会员46个(第二梯队),里面包括阿里云、腾讯,还有一个叫“水木羽林”的软件质量与安全测试领域的中国企业;
- “Associate”会员10个,其中包括中国信息通信研究院。
Alpha-Omega项目是啥?
是OpenSSF的一个项目,致力于提升全球软件的供应链安全。所谓供应链,是说最终用户使用的软件其实也不是完全由一家软件公司做成的,就像一个实物商品一样,软件公司需要向它的上游公司采购软件,上游公司也需要向它的上游公司采购软件,由此形成了软件的供应链。但是软件和实物商品的一个区别是,软件行业有大量的开源软件,这些开源软件大部分是可以被免费使用的,甚至可以拿过来修改它的源代码以供自己商用(这些得看软件的提供者给该软件附带的什么协议)。由于开源软件的盛行,这些开源软件几乎渗透到了每个最终用户的终端里,哪怕用户实际使用的都是付费软件。因此开源软件是整个软件供应链中几乎无处不在的存在,Alpha-Omega项目主要就是要提升这些开源软件的安全性。
自从极其严重的Log4j漏洞被发现后,大家都惊出了一身冷汗,因为就像上面说的,Log4j几乎被无处不在地使用着。开源软件的安全性实际上一直以来是被忽略的,开源软件项目往往缺乏资金、人力,安全性自然更容易被忽略,这和项目的开发人员是否优秀无关。开源软件的使用极其广泛,再加上这次漏洞的严重性,然后人们开始关注了,然后资金也就来了,然后项目也就来了,Alpha-Omega项目就是在这种背景下诞生的。
Alpha-Omega分成两部分,一个是Alpha,另一个是Omega。Alpha是指和开源项目维护者一起合作找出并修补漏洞,提升他们的安全性,至于和哪些开源项目合作,将由OpenSSF安全项目工作组根据专家意见和其他信息来选择。Omega将识别出最少一万个被广泛部署的开源项目,然后将自动化安全性分析、安全性评分、修复向导提供给开源项目的维护者社区。
Node.js被OpenSSF选中
OpenSSF的blog上说:“从NASA到Netflix,Node.js已经是无处不在了,人们对用Node.js开发的产品和服务有很大的信任”。Alpha-Omega准备在2022年剩下的时间里,用30万美元的投入,通过提供更好的开源软件安全标准和实践,来增强Node.js的安全团队和修复漏洞 OpenSSF的blog上也指出,全世界19亿的网站中98%的网站使用Javascript。根据GitHub和RedMonk的统计,2021年,Node.js被下载了超过20亿次,Node.js是遍布全行业的存在,在现代软件中占有很显著的比例。
Node.js作为首个被选中项目,将成为OpenSSF和OpenJS社区在安全性方面的一个榜样。
