近日,linux基金會發布了一份報告(
https://linuxfoundation.org/wp-content/uploads/LFResearch_Harvard_Census_II.pdf),該報告提供了對組織使用最多的前500個開源庫的八個列表,以更好地保護軟件供應鏈。
《自由和開源軟件-應用程序庫普查II》報告基于Snyk、Synopsys網絡安全研究中心(CyRC)和FOSSA等軟件組成分析(SCA)工具供應商的使用數據。該報告由哈佛創新科學實驗室(Harvard Lab for Innovation Science)編寫。
這八個列表由四個包含版本號的列表和四個版本不可知的列表組成。這些列表分為npm和非npm包,因為npm包將主導任何創建的排名。目前使用的頂級非npm軟件包包括maven、nugget、Go和cargo。
哈佛商學院(Harvard Business School)助理教授Frank Nagle表示,該報告旨在為企業提供一些指導,讓企業了解在JAVA應用程序中管理日志的廣泛使用的Log4j軟件最近發現了哪些漏洞,而這些漏洞又是如何使用開源軟件包的。
受該漏洞影響的許多組織都不知道Log4j在其企業IT組織中的部署有多廣泛。IT組織應該根據致力于確保這些庫安全的貢獻者和維護者的數量來評估這些項目的可持續性。
Nagle指出,最大的挑戰之一是找到一種方法來標準化軟件組件的命名模式,并對不同庫的版本進行全面管理。
Nagle指出,最終的目標是說服更多的企業IT組織和支持它們的供應商提供更多資源來保護這些庫。大多數使用最廣泛的開源軟件都是由少數貢獻者開發和維護的。許多貢獻者認為,雖然他們免費提供該軟件,但使用該軟件的組織有責任確保其安全。
Linux基金會正在成為一個管道,通過它,將有更多的資源來幫助更好地保護開源軟件。早些時候,Linux基金會托管的開源安全基金會(OpenSSF基金會)宣布,19個新組織加入OpenSSF,以幫助識別和修復開源軟件中的安全漏洞,并改進工具、培訓、研究、最佳實踐和漏洞披露實踐。
OpenSSF的執行董事Brian Behlendorf說,除了提供資源外,顯然還需要對開源軟件進行某種形式的第三方審計,因為各組織正在其軟件供應鏈中更廣泛地使用該軟件。
OpenSSF的新premier成員來自1Password、花旗、Coinbase、華為技術、JFrog和Wipro。新general成員來自Accuknox、阿里云、Block、 Blockchain Technology Partners、Catena Cyber、Chainguard、DeployHub、Gravity Inc、MongoDB、NCC Group、ReversingLabs、Spotify和Wingtecher Technology。新的associate成員包括Institute of Software、中國科學院(ISCAS)、MITRE和OpenUK。
OpenSSF領導的其他努力包括一個Alpha Omega項目,以更好地保護開源安全態勢,識別100多萬個項目中依賴關系風險的記分卡、多因素身份驗證令牌,以及一個簽名、驗證和保護開源代碼的Project Sigstore計劃。
開源軟件要達到IT行業所追求的安全水平,可能還需要一段時間。然而,現在有這么多資源投入以實現這一目標,未來可期。
