近日,linux基金会发布了一份报告(
https://linuxfoundation.org/wp-content/uploads/LFResearch_Harvard_Census_II.pdf),该报告提供了对组织使用最多的前500个开源库的八个列表,以更好地保护软件供应链。
《自由和开源软件-应用程序库普查II》报告基于Snyk、Synopsys网络安全研究中心(CyRC)和FOSSA等软件组成分析(SCA)工具供应商的使用数据。该报告由哈佛创新科学实验室(Harvard Lab for Innovation Science)编写。
这八个列表由四个包含版本号的列表和四个版本不可知的列表组成。这些列表分为npm和非npm包,因为npm包将主导任何创建的排名。目前使用的顶级非npm软件包包括maven、nugget、Go和cargo。
哈佛商学院(Harvard Business School)助理教授Frank Nagle表示,该报告旨在为企业提供一些指导,让企业了解在JAVA应用程序中管理日志的广泛使用的Log4j软件最近发现了哪些漏洞,而这些漏洞又是如何使用开源软件包的。
受该漏洞影响的许多组织都不知道Log4j在其企业IT组织中的部署有多广泛。IT组织应该根据致力于确保这些库安全的贡献者和维护者的数量来评估这些项目的可持续性。
Nagle指出,最大的挑战之一是找到一种方法来标准化软件组件的命名模式,并对不同库的版本进行全面管理。
Nagle指出,最终的目标是说服更多的企业IT组织和支持它们的供应商提供更多资源来保护这些库。大多数使用最广泛的开源软件都是由少数贡献者开发和维护的。许多贡献者认为,虽然他们免费提供该软件,但使用该软件的组织有责任确保其安全。
Linux基金会正在成为一个管道,通过它,将有更多的资源来帮助更好地保护开源软件。早些时候,Linux基金会托管的开源安全基金会(OpenSSF基金会)宣布,19个新组织加入OpenSSF,以帮助识别和修复开源软件中的安全漏洞,并改进工具、培训、研究、最佳实践和漏洞披露实践。
OpenSSF的执行董事Brian Behlendorf说,除了提供资源外,显然还需要对开源软件进行某种形式的第三方审计,因为各组织正在其软件供应链中更广泛地使用该软件。
OpenSSF的新premier成员来自1Password、花旗、Coinbase、华为技术、JFrog和Wipro。新general成员来自Accuknox、阿里云、Block、 Blockchain Technology Partners、Catena Cyber、Chainguard、DeployHub、Gravity Inc、MongoDB、NCC Group、ReversingLabs、Spotify和Wingtecher Technology。新的associate成员包括Institute of Software、中国科学院(ISCAS)、MITRE和OpenUK。
OpenSSF领导的其他努力包括一个Alpha Omega项目,以更好地保护开源安全态势,识别100多万个项目中依赖关系风险的记分卡、多因素身份验证令牌,以及一个签名、验证和保护开源代码的Project Sigstore计划。
开源软件要达到IT行业所追求的安全水平,可能还需要一段时间。然而,现在有这么多资源投入以实现这一目标,未来可期。