| OpenSSF | OpenJS | XZ Utils | 軟體供應鏈 | 社交工程 | 開源軟體

OpenSSF與OpenJS基金會示警XZ Utils後門可能非獨立事件

為避免XZ Utils後門事件再次發生,OpenSSF和OpenJS基金會提醒開源維護者提防社交工程攻擊,並採取措施保護專案安全警惕潛在威脅

2024-04-17

| GUAC | 軟體供應鏈 | OpenSSF

軟體安全評估工具GUAC現成為OpenSSF旗下專案

GUAC是一款由多方合作開發的軟體安全評估工具,可透過聚合軟體相依項目的安全後設資料,分析評估軟體供應鏈安全,目前已成為OpenSSF的孵化專案

2024-03-11

| 套件儲存庫安全 | OpenSSF | CISA

CISA、OpenSSF合作套件儲存庫安全框架

面對套件儲存庫安全風險日益普遍,OpenSSF與CISA合作推出套件儲存庫安全原則,當中定義4個安全成熟度等級,並針對驗證、授權、一般能力、CLI這4大面向列出必要安全功能,協助開發人員評估並提升套件安全性

2024-02-14

| OpenSSF | GitHub | 惡意套件 | 軟體供應鏈

OpenSSF開源惡意套件儲存庫,以應對開源軟體供應鏈安全威脅

OpenSSF釋出公開惡意套件儲存庫,集結並發布跨平臺惡意套件報告,以增進惡意套件報告資訊的傳遞,並協助阻止以及應對相關安全威脅

2023-10-16

| Rust | OpenSSF | JFrog | 程式語言

Rust基金會獲OpenSSF和JFrog投資,將建立專門安全團隊

Rust基金會將使用OpenSSF和JFrog的資源,建立一支專門的安全團隊,進行Rust安全稽核和威脅建模演練

2022-09-14

| 開源軟體安全高峰會 | Linux基金會 | OpenSSF | 美國白宮

未來兩年將有1.5億資金投入開源碼安全問題

美國政府、Linux基金會、開源安全基金會以及37家業者,在開源軟體安全高峰會上訂出開源軟體十大問題,並承諾投入1.5億美元經費予以解決

2022-05-16

| OpenSSF | Package Analysis | 開源儲存庫 | 惡意套件

OpenSSF釋出可用來辨識惡意套件的Package Analysis工具

開源安全基金會(OpenSSF)發表套件分析(Package Analysis)專案的原型,經過一個月的分析之後,找到了上傳至PyPI及npm專案的逾200個惡意套件

2022-05-02

| OpenSSF | Log4j漏洞

Log4j漏洞引爆開源軟體安全議題,OpenSSF基金會扛起重擔,推動修補大量軟體漏洞的計畫

由微軟、Google大力支持的開源軟體安全基金會OpenSSF,2月1日推出Alpha-Omega計畫,希望能夠改善1萬個開放原始碼專案的軟體供應鏈安全性

2022-02-02

| 開源安全基金會 | OpenSSF | 開源軟體安全

Linux基金會成立開源安全基金會,微軟、Google加入

OpenSSF包含治理委員會、技術顧問委員會、以及不同工作小組和專案的主管單位。OpenSSF計畫代管多個和安全相關的開源技術專案,所有專案及資源都會置於GitHub上對外開放

2020-08-04