通过新的 GitHub 安全开源基金改进开源安全性

开源社区支撑着当今的大部分软件创新,但伴随这种力量而来的是责任。安全漏洞、不明确的许可和软件组件缺乏透明度给软件供应链带来了重大风险。 认识到这一挑战,GitHub 最近宣布成立了 GitHub 安全开源基金——一项旨在加强开源项目的安全性和可持续性的变革性举措。

什么是安全开源基金?

GitHub 安全开源基金 在合作伙伴 125 万美元承诺的支持下启动,旨在解决一个关键问题:即广泛使用的开源项目常常被忽视的安全性需求。 该基金不仅为项目维护者提供资金支持,还提供全面的资源套件,包括但不限于:

  • 实践安全培训:为期三周的计划,提供指导、研讨会和专家指导。
  • 社区参与:与 GitHub 安全实验室、赞助商和其他维护者建立联系的机会。
  • 资金里程碑:每个项目 10,000 美元,与实现关键安全目标挂钩。

该计划基于群组协作方法,培养协作,并为维护者提供技能、人脉和资金,以可持续地增强其项目的安全性。

为何这很重要

开源的成功取决于其可信度。 对于开发人员和组织而言,自信地采用和集成开源项目至关重要。 然而,如果缺乏足够的安全措施和透明度,这些项目可能会将漏洞引入软件供应链。 GitHub 的安全开源基金通过赋予维护者知识、社区和资金来使其项目安全可靠,从而直接解决了这个问题。

通过透明度建立信任

GitHub 安全开源基金与全球推动提高开源软件创建者和消费者之间软件供应链的透明度和弹性的努力相一致。 其对安全性的关注解决了欧盟《网络弹性法案》和美国网络与基础设施安全局 (CISA) 等法规突出的日益增长的担忧。 通过为维护者提供重要资金来优先考虑专注时间以及用于识别和解决漏洞的资源,该计划加强了开源生态系统的基础。

GitHub 采取了生态系统范围的方法,将资源和安全性紧密结合。 开源促进会 (OSI) 受邀成为启动生态系统合作伙伴,我们希望与其他社区成员一起贡献有价值的意见、反馈和想法。 我们的项目之一 ClearlyDefined 通过为开源组件提供对准确许可元数据的轻松访问,帮助组织大规模管理供应链每个阶段的 SBOM。 我们共同希望为整个供应链培养更高的透明度和安全性。

GitHub 安全开源基金生态系统合作伙伴

向开源社区发出行动号召

随着 GitHub 率先推出其安全开源基金,更广泛的社区必须挺身而出。 以下是您可以参与的方式:

  • 了解更多关于安全性的信息:获取研讨会、小组会议和指导。
  • 最大化透明度:采用像 ClearlyDefined 这样的工具来确保组件的清晰元数据。
  • 倡导资金支持:通过赞助或倡导来支持优先考虑安全性的倡议。

我们共同可以创建一个更安全、更透明、更可持续的开源生态系统。

要了解有关 GitHub 安全开源基金的更多信息并进行申请,请访问其官方项目页面公告

让我们共同努力,保护为全球创新提供动力的软件供应链。

GitHub 安全开源基金赞助商