八個值得關注的開源安全專案

2022年開源安全邁出了一大步。開源安全不僅是今年各大網路安全會議議程的重中之重，業界還推出了大量相關措施、專案和指南，以期提高開原始碼、軟體和開發的網路彈性。

Linux基金會開源供應鏈安全主管David A。 Wheeler指出：提高開源安全性極為重要，因為世界正執行在軟體之上。最新研究表明，今天的應用程式平均70%到90%的原始碼都來自開源軟體（OSS）元件，如果OSS容易受到攻擊，就會出現嚴重問題。”

以下，是2022年八個值得關注的開源安全計劃（按時間順序）。

白宮開源安全峰會

1月，白宮召集政府和私營部門討論提高開源軟體安全性的舉措。會議參與者包括負責網路和新興技術的國家安全副顧問Anne Neuberger和國家網路總監Chris Inglis，以及來自Akamai、亞馬遜、蘋果、微軟、Cloudflare、Facebook/Meta、Linux基金會、開源安全基金會等科技公司的代表。

“與會者就如何在開源軟體的安全性方面產生影響，同時有效地參與和支援開源社群進行了實質性和建設性的討論，”白宮的一份宣讀報告稱：“討論集中在三個主題：防止程式碼和開源包中的安全缺陷和漏洞，改進發現和修復漏洞的過程，以及縮短分發和實施修復程式的響應時間。”

白宮聲稱，所有參與者將在未來幾周繼續討論以支援這些舉措，這些舉措對所有感興趣的公共和私人利益相關者開放。

OpenSSF、Linux基金會發布開源軟體安全動員計劃

5月，OpenSSF和Linux基金會發布了開源軟體安全動員計劃，提出了十大戰略，其中包括在開源軟體中針對底層元件和操作進行短期和長期改進的步驟。它的三個核心安全目標是：

透過專注於防止程式碼和開源包中的安全缺陷和漏洞來保護開源軟體的開發。

透過改進發現和修復缺陷的流程來改進漏洞的發現和修復。

透過加快修復補丁的分發和實施來縮短生態系統修補響應時間。

“廣泛部署的軟體中的漏洞對現代社會的安定構成了系統性威脅，因為政府服務、基礎設施提供商、非營利組織和絕大多數私營企業都依賴軟體來運作，”OpenSSF寫道：“是時候將安全最佳實踐應用於整個軟體生態系統，包括開源，包括更全面的一系列投資，將安全性從被動方法轉變為主動方法。”

JFrog推出Pyrsia專案，以保護開源軟體包、二進位制程式碼

5月，JFrog宣佈推出Pyrsia專案（Project Pyrsia），這是一個去中心化的、網路和軟體安全開發包儲存庫，它使用區塊鏈技術來保護開源軟體包免受漏洞和惡意程式碼的影響。該公司表示，該專案旨在幫助開發人員為其軟體元件建立來源鏈，從而確立信心和信任。“使用Pyrsia，開發人員可以放心地使用開源軟體，因為他們知道框架中的元件沒有受到損害，而無需開發、維護或操作複雜的流程來安全地管理依賴項。”JFrog指出，該框架將有助於提供：

用於開源軟體的獨立、安全的開發網路

軟體包的可信度

已知開源軟體依賴項的完整性

“在JFrog，我們相信只有為社群提供與企業相同的工具和服務，開源安全才會成功，”JFrog開發人員關係副總裁Stephen Chin評論道：“開源、可定製的架構和壯大、活躍的社群相結合，使Pyrsia成為獲取安全軟體包的最透明和最值得信賴的方式。”

OpenUK啟動開源安全之夏

6月，OpenUK推出了“開源安全之夏”，這是一項為期兩個月的計劃，其中包括專門針對開源軟體安全和供應鏈管理的活動、講座和播客。對話聚焦全球政府和企業在基於開源軟體的國家關鍵基礎設施方面的定位，以及開源軟體的維護、防護和管理。

GitGuardian宣佈ggcanary專案來檢測開源軟體風險

7月，程式碼安全平臺提供商GitGuardian宣佈啟動一個開源專案（ggcanary），以幫助組織檢測受損的開發人員和DevOps環境。該公司表示，ggcanary專案旨在幫助企業更快地發現漏洞，並具有以下功能：

基於Terraform，使用HashiCorp開發的流行的基礎設施即程式碼軟體工具來建立和管理AWS的canary令牌

高度敏感的入侵檢測，使用AWS CloudTrail審計日誌來跟蹤攻擊者對canary令牌執行的所有型別的操作

部署在組織內部邊界、原始碼儲存庫、CI/CD工具、工單和訊息傳遞系統（如Jira、Slack或Microsoft Teams）中的多達5000個活動AWS canary令牌的可擴充套件性

自身的警報系統與AWS簡單電子郵件服務（SES）、Slack和SendGrid整合。使用者還可以將其擴充套件為向SOC、SIEM或ITSM轉發警報

谷歌推出開源軟體漏洞賞金計劃

8月，谷歌啟動了開源軟體漏洞獎勵計劃（OSS VRP），以獎勵在谷歌的開源專案中的漏洞發現。在一篇部落格文章中，谷歌指出OSS VRP計劃鼓勵安全研究人員報告谷歌產品組合的開源軟體中具有重大影響的漏洞，範圍如下：

儲存在谷歌GitHub公共儲存庫中的所有最新版本的開源軟體（包括儲存庫設定）

這些專案的第三方依賴項（在提交到Google的OSS VRP之前需要事先通知受影響的依賴項）

“最高獎項將頒發給在最敏感專案中發現的漏洞，這些專案包括：Bazel、Angular、Golang、Protocol buffers和Fuchsia。”谷歌表示，為了集中精力發現對供應鏈影響最大的發現，它歡迎提交：

導致供應鏈受損的漏洞

導致產品漏洞的設計問題

其他安全問題，例如敏感或洩露的憑據、弱密碼或不安全的安裝

谷歌表示，漏洞獎金範圍從100美元到31337美元不等，具體取決於漏洞嚴重程度和專案重要性。

CISA、NSA釋出開源軟體供應鏈安全指南

8月，美國網路安全和基礎設施安全域性（CISA）和美國國家安全域性（NSA）釋出了開源軟體供應鏈安全指南，建議開發人員如何更好地保護美國軟體供應鏈，重點關注開源軟體。

“開發者應該使用專門的系統來下載、掃描和執行對開源庫的定期檢查，以查詢新版本、更新以及已知或新漏洞，”該指南中寫道：“與所有軟體一樣，我們強烈建議對開發人員進行有關使用開源軟體、閉源軟體以及最佳緩解措施和注意事項的教育。”

管理團隊還應建立、管理和應用與開源軟體相關的釋出標準，該指南補充說，應確保所有開源軟體的釋出都符合公司範圍的標準，包括原始碼的漏洞評估。

OpenSSF釋出npm最佳實踐，幫助開發者應對開源依賴風險

9月，OpenSSF釋出了npm最佳安全實踐指南，以幫助JavaScript和TypeScript開發人員降低與使用開源依賴項相關的安全風險。該指南出自OpenSSF最佳實踐工作組之手，側重於npm的依賴項管理和供應鏈安全，涵蓋了各個領域，例如如何設定安全的CI配置、如何避免依賴項混淆以及如何降低依賴項被劫持造成的損失。

Linux基金會的Wheeler表示，開發人員使用開源元件帶來的最大安全風險是低估了直接和間接依賴項中的漏洞的潛在影響。“任何軟體都可能存在缺陷，如果不小心，可能會嚴重影響使用它的供應鏈。很多時候，許多依賴項是不可見的，開發人員和組織很難確保堆疊的所有層都不出問題。解決方案不是因噎廢食停止重用軟體，而是審慎明智地重用軟體，隨時準備好在發現漏洞時更新元件。”