Linux基金會成立開源安全基金會，微軟、Google加入

Linux基金會昨（3）日宣布成立開源安全基金會（OpenSSF），集結跨業界廠商，包括微軟、IBM、Google、GitHub等，以強化開源碼軟體安全性。

OpenSSF集結了業界主要開源安全倡議及背後的組織，包括Linux基金會因應2014年Heartbleed漏洞，而成立的核心基礎架構倡議（Core Infrastructure Initiative）， GitHub開源安全聯盟（Open Source Security Coalition, CII），以及業界廠商。創會治理委員會成員包括GitHub、Google、IBM、RedHat、微軟、摩根大通、OWASP（Open Web Application Security Project）基金會等，其他創會成員還包括VMWare、英特爾、抓蟲賞金平台Hackerone、GitLab等。

Linux基金會指出，開源軟體已普遍用於資料中心、消費裝置及服務上。基於其開發流程，開源軟體來到終端用戶之前，有一個參與者及相依性組成的鏈結，提供用戶或企業安全的人，必須要能了解及驗證這些相依性鏈結的安全性。

Linux 基金會主任Jim Zemlin指出，確保開源軟體安全是最重要任務，需要所有人的合作，而OpenSSF將提供真正跨產業協同的論壇。

組織方面，OpenSSF包含治理委員會、技術顧問委員會、以及不同工作小組和專案的主管單位。OpenSSF計畫代管多個和安全相關的開源技術專案，所有專案及資源都會置於GitHub上對外開放。

微軟表示該公司多年來已投入多項開源安全計畫，加入OpenSSF後，已經積極展開辨識開源專案安全威脅、提供安全工具、安全最佳實作及揭露漏洞四大領域工作。

Google則表示，他們目前的重點領域包括共享安全實作自動化的schema及metadata、提供相依性管理及風險評估的工具、開源軟體安全供應鏈工具如Tekton專案、回應開源專案漏洞，以及開發商身份管理系統等。