开源安全一直是今年网络安全议程的重中之重，大量相关措施、项目和指南陆续出台，以帮助提高开源代码、软件和开发的网络弹性。随着组织越来越多地使用和依赖开源资源，以及由此产生的复杂安全风险和挑战，全球供应商、科技公司、集体和政府正在为提升开源安全标准贡献力量。

Linux基金会开源供应链安全主管David A. Wheeler表示，

“2022年，业界对开源安全重要主题（包括供应链安全）的关注达到了一个新的水平，同时也促进了一系列相关措施、项目和指南的发布。总之：事情才刚刚起步，但已经取得了进展。”

那么，为什么提高开源安全性至关重要呢？部分原因在于它支撑着一切。Wheeler解释称，

“如今的世界确实正运行在软件之上。最新研究表明，平均而言，如今70%到90%的应用程序是开源软件（OSS）组件。这本身没有问题——OSS支持数量惊人的产品和服务——但一旦OSS受到攻击，那问题就大了。为了做出改变，组织需要资源，包括人员、时间和金钱。有些计划可能不需要太多资源，而有些会因为软件行业很大、软件量很多，所以需要更多的资源。对于许多开发人员来说，‘确保开源安全’是一项新的、意料之外的要求。”

以下是2022年八项值得关注的开源安全计划。

1. 白宫开源安全峰会

2022年1月，白宫召集政府和私营部门的利益相关者讨论提高开源软件安全性的举措，以及新的协作方法以推动改进。会议参与者包括负责网络和新兴技术的国家安全副顾问Anne Neuberger和国家网络总监Chris Inglis，以及来自Akamai、亚马逊、苹果、微软、Cloudflare、Facebook/Meta、Linux基金会、开源安全基金会（OpenSSF）等科技公司的代表。

白宫的一份宣读报告称，

“与会者就如何在开源软件的安全性方面产生影响，同时有效地参与和支持开源社区进行了实质性和建设性的讨论。讨论主要集中在三个主题：防止代码和开源包中的安全缺陷和漏洞，改进发现和漏洞修复的过程，以及缩短分发和实施修复程序的响应时间。”

它补充道，所有参与者将在未来几周继续讨论以支持这些举措，这些举措对所有感兴趣的公共和私人利益相关者开放。

2. OpenSSF、Linux基金会发布开源软件安全动员计划

2022年5月，OpenSSF和Linux基金会发布了开源软件安全动员计划，概述了十大战略，其中包括在开源软件中针对底层组件和操作进行即时和长期改进的步骤。它的三个核心安全目标是：

通过专注于防止代码和开源包中的安全缺陷和漏洞来保护开源软件的开发；

通过改进发现和修复缺陷的流程来改进漏洞发现和修复；

通过加快修复程序的分发和实施来缩短生态系统修补响应时间。

OpenSSF表示，广泛部署的软件中的漏洞和缺陷对现代社会的安全和稳定构成了系统性威胁，因为政府服务、基础设施提供商、非营利组织和绝大多数私营企业都依赖各种软件来支持运作。是时候将安全最佳实践应用于整个软件生态系统（包括开源），涵盖更全面的系列投资，以将安全性从传统的被动方式转变为主动方式。

3. JFrog推出Pyrsia项目以保护开源软件包、二进制代码

2022年5月，JFrog宣布推出Pyrsia项目（Project Pyrsia），这是一个去中心化的、安全构建的网络和软件包存储库，它使用区块链技术来保护开源软件包免受漏洞和恶意代码的影响。JFrog表示，该项目旨在帮助开发人员为其软件组件建立来源链，从而确立更强大的信心和信任。JFrog指出，

“借助Pyrsia，开发人员将可以放心地使用开源软件，因为他们知道自己框架中的组件没有受到损害，而无需构建、维护或操作复杂的流程来安全地管理依赖项。”

该框架将有助于提供：

用于开源软件的独立、安全的构建网络；

软件包的可信度；

已知开源软件依赖项的完整性；

JFrog开发人员关系副总裁Stephen Chin评论道，

“在JFrog，我们相信只有为社区提供与企业可用的相同工具和服务，开源安全才会成功。开源、可定制的架构和强大、活跃的社区相结合，使Pyrsia成为获取安全软件包的最透明和最值得信赖的方式。”

4. OpenUK启动开源安全之夏

2022年6月，OpenUK推出了“开源安全之夏”（Summer of Open Source Security），这是一项为期两个月的计划，其中包括专门针对开源软件安全和供应链管理的活动、讲座和播客。对话涵盖全球政府和企业在基于开源软件的国家关键基础设施方面的定位，以及开源软件的维护、防护和管理等。

OpenUK首席执行官Amanda Brock表示，开源与专有软件存在很大不同，部分原因在于专有特许权使用费模型和相关的责任排除。这直接影响风险平衡的基础，这对于开源软件和专有软件来说是非常不同的。免费分发开源代码的交换条件是绝对免除责任。

5. GitGuardian宣布ggcanary项目来检测开源软件风险

2022年7月，代码安全平台提供商GitGuardian宣布启动一个开源金丝雀令牌项目（ggcanary），可帮助组织检测受损的开发人员和DevOps环境。该公司表示，ggcanary项目旨在帮助企业更快地发现漏洞，并具有以下功能：

依赖Terraform，使用HashiCorp流行的基础设施即代码软件工具来创建和管理AWS的canary令牌；

高度敏感的入侵检测，使用AWS CloudTrail审计日志来跟踪攻击者对canary令牌执行的所有类型的操作；

可扩展到部署在组织内部边界、源代码存储库、CI/CD工具、工单和消息传递系统（如Jira、Slack或Microsoft Teams）中的多达5000个活动AWS canary令牌；

它自身的警报系统，与AWS简单电子邮件服务（SES）、Slack和SendGrid集成。用户还可以将其扩展为向SOC、SIEM或ITSM转发警报；

6. 谷歌推出开源软件漏洞赏金计划

2022年8月，谷歌启动了开源软件漏洞奖励计划（OSS VRP），以奖励在谷歌开源项目中发现漏洞的人员。谷歌在一篇博文中指出，OSS VRP计划鼓励安全研究人员报告对谷歌产品组合下的开源软件具有重大实际和潜在影响的漏洞，范围如下：

存储在谷歌所属GitHub公共存储库中的所有最新版本的开源软件（包括存储库设置）；

这些项目的第三方依赖项（在提交到Google的OSS VRP之前需要事先通知受影响的依赖项）；

谷歌表示，最高奖项将颁发给在最敏感项目中发现的漏洞，这些项目包括Bazel、Angular、Golang、Protocol buffers和Fuchsia。此外，为了集中精力发现对供应链影响最大的发现，它还欢迎提交：

导致供应链受损的漏洞；

导致产品漏洞的设计问题；

其他安全问题，例如敏感或泄露的凭据、弱密码或不安全的安装；

谷歌表示，漏洞赏金范围从100美元到31,337美元不等，具体取决于所提交漏洞的严重程度和项目重要性。

7. CISA、NSA发布开源软件供应链安全指南

2022年8月，美国网络安全和基础设施安全局（CISA）和美国国家安全局（NSA）发布了开源软件供应链安全指南，指导开发人员如何更好地保护美国软件供应链，重点聚焦开源软件。

该指南指出，

“开发组织应该使用专门的系统来下载、扫描和执行对开源库的定期检查，以查找新版本、更新以及已知的或新漏洞。与所有软件一样，我们强烈建议对开发人员进行教育，以指导他们使用开源软件、闭源软件以及不断更新的最佳实践缓解措施和注意事项。”

该指南补充道，管理团队还应建立、管理和应用与开源软件相关的发布标准，并确保完全理解和符合开源使用政策，同时，确保所有开源软件的发布都符合公司范围的标准，包括源代码的漏洞评估。

8. OpenSSF发布npm最佳实践，帮助开发者应对开源依赖项风险

2022年9月，OpenSSF发布了npm最佳安全实践指南，以帮助JavaScript和TypeScript开发人员降低与使用开源依赖项相关的安全风险。该指南是OpenSSF最佳实践工作组的产物，侧重于npm的依赖项管理和供应链安全。它涵盖了各个领域，例如如何设置安全的CI配置、如何避免依赖项混淆以及如何降低依赖项被劫持带来的后果。

Linux基金会的Wheeler表示，开发人员使用开源依赖项带来的最大安全风险是低估了直接和间接依赖项中的漏洞可能产生的影响。要知道，任何软件都可能存在缺陷，如果不小心，可能会严重影响使用它的供应链。很多时候，许多依赖项是不可见的，开发人员和组织并不清楚堆栈的所有层。针对该问题的解决方案并不是停止重用软件，而是明智地重用软件，并随时准备好在发现漏洞时更新组件。

原文链接：

https://www.csoonline.com/article/3673089/8-notable-open-source-security-initiatives-of-2022.html