7月28日，在2022开放原子全球开源峰会的高峰论坛上，开源安全基金会（OpenSFF）总经理Brian Behlendorf发表了题为《开源安全需求的深入探讨》的视频演讲。他表示， 开源安全基金会旨在改善全球开源软件生态系统的安全状态，将打造更高效的流程，鼓励开发人员实践安全工作，从而促进安全合作，共担安全责任。

开源安全基金会（OpenSFF）总经理Brian Behlendorf

2021年12月，Log4Shell安全漏洞的发现，推动了开源软件安全动员计划的筹备。2022年5月12日，开源安全基金会正式发布该计划， 旨在开发更安全的开源软件，改进开源生态系统的漏洞发现和修复流程，缩短修补和响应时间。 据了解，这是首个广泛解决开源软件供应链安全问题的计划。开源安全基金会管理委员会召集社区专家共同制定，深入推进计划中10个主要问题的解决方案。

增强安全教育

开源软件安全动员计划为开发者提供了基础安全软件开发教育和认证。现已开发了丰富的培训课程（详见edX和Linux基金会网站），为开设计算机科学课程的高校提供20至40小时的课程，学生可自学代码编写并进行认证。

专注风险评估

开源软件安全动员计划帮助软件开发人员，在了解客观指标的基础上，判断软件安全性，并作出明智的选择。例如，开源安全基金会的最佳实践——通过开源项目的调查问卷，调研企业及开发者是否应用了安全实践，是否有安全响应团队，以及是否协作漏洞披露流程，旨在帮助开发者判断项目的运行状态。

关注数字签名

众所周知，数字签名和加密技术在互联网安全中扮演了重要的角色。获取签名的软件产品在进入供应链时，签名能够证明其未被篡改，并随着供应链流动，参与构建系统，使得用户不会受到威胁。

关注内存安全

内存安全是Java语言的优点之一，程序员不必担心内存分配错误，从而为软件基础设施中关键部分带来安全隐患。 Brian Behlendorf建议应当加大Go等语言的投入，将核心库和核心部分重新写入Rust和Go，并尝试修复整个类别的漏洞。

关注事件响应

多数情况下，在处理安全事件时，软件专家团队可以协助进行管理：先向主要用户披露信息，并尝试在公众遭受安全威胁前让人们升级软件。虽然Apache社区无法支持所有项目，但是当小的开源项目有需求时，外部专家团队能够随时加入，切实帮助开发者处理安全事件。

优化代码扫描

开源代码和商用代码不仅需要工具来扫描漏洞，还要有值得信赖的员工去扫描漏洞。从扫描工具返回的看似噪音的数据中，开发者可寻找潜在漏洞的迹象，然后与社区和维护者一起修复漏洞。开源安全基金会的Alpha- Omega项目，专注于让软件安全专家直接参与和执行自动安全测试，抢在黑客前加固和封堵漏洞。

重视代码审查

代码审查是维护人员和安全专家进行高效、透明对话的方式。通过代码审查提升代码质量，修复漏洞。 Brian Behlendorf指出：“未来两年，我们将每年审查200次主要开源项目的代码，并对每个软件反复进行审查，在审查代码的过程中修复漏洞。”

重视数据共享

对于开发者而言，找到最关键的软件组件非常困难，往往需要同该领域公司合作，有些情况下还需要和政府部门合作，以获得软件的部署数据和软件间的依赖数据。有些数据可能是专有数据，获得难度也很大。 Brian Behlendorf希望建立私有数据共享协议，以便回答“使用最广泛的开源组件是什么”“依赖最广泛的开源组件是什么”等问题。如此一来，当一个组件出现bug时，便能快速评估其产生的影响。

定位软件使用场景

定位软件的使用场景非常困难， Brian Behlendorf建议应当建立和部署软件物料清单（SBOM） 。开源安全基金会需要加大开发工具的投入，从而推动开源社区采纳并接受该提议。

优化供应链

开源安全基金会将关注开源软件的主要分发点（例如：npm、PyPI以及Java生态系统中的一些分发点），设置更安全的替代方案查找漏洞，寻找已发现bug的使用模式。通过制定通用标准和搭建基础设施，增加该节点在供应链的安全性。

（以上内容根据演讲视频整理）

** 扫码观看回放/现场集锦**

官方直播间/云相册