미국 정부가 이 프로그램에 자금을 제공하지 않을 것으로 보여 아마존, 에릭슨, 구글, 인텔, 마이크로소프트, VM웨어 등의 기업은 총 3000만 달러를 약속했고 아마존 웹 서비스(AWS)는 약속했다. 그의 부분에 대한 추가 1000만. OpenSSF의 총책임자인 Brian Behlendorf는 백악관 기자 회견에서 공개 자금을 모으는 것이 목적이 아니며 프로그램의 성공을 위해 필요하다고 생각하지 않는다고 말했습니다.
OpenSSF와 The Linux Foundation에서 추진하는 프로그램은 다음 10가지 목표를 달성하도록 설계되었습니다.
- 안전한 소프트웨어 개발에 대한 교육 및 기본 인증을 제공합니다.
- 10,000개의 오픈 소스 핵심 구성 요소에 대한 객관적인 메트릭을 기반으로 벤더 독립적인 공개 위험 대시보드를 구축합니다.
- 소프트웨어 릴리스 전반에 걸쳐 디지털 서명 채택을 가속화하십시오.
- 메모리에 안전하지 않은 언어를 대체하여 많은 취약점의 근본 원인을 수정합니다(일부 사람들에게는 Rust를 Linux 커널로 가져오려는 것처럼 들릴 수 있습니다 ).
- 중요한 시기에 오픈 소스 프로젝트를 돕고 취약성에 적절하게 대응하도록 할 수 있는 보안 전문가로 구성된 OpenSSF 사고 대응 팀을 구성합니다.
- 고급 보안 도구를 사용하여 유지 관리자와 전문가의 새로운 취약점 발견을 가속화하십시오. 여기에서 우리는 제로 데이를 유지하도록 주어진 회사 및 기관과의 가능한 경쟁에 직면할 가능성이 높습니다.
- 200개의 가장 중요한 오픈 소스 구성 요소를 다루기 위해 1년에 한 번 타사 코드 및 기타 작업에 대한 검토 및 감사를 수행합니다.
- 가장 중요한 오픈 소스 구성 요소를 식별하기 위해 연구를 개선하는 방식으로 산업 데이터 공유를 조정합니다.
- SBOM(Software Declaration of Material) 도구 및 교육을 강화하여 채택을 촉진합니다.
- 공급망 보안 모범 사례 및 도구를 사용하여 빌드 시스템, 패키지 관리자, 배포 시스템을 비롯한 가장 중요한 10가지 오픈 소스 도구를 향상시키십시오.
보안을 개선하기 위해 오픈 소스 보안 회사인 Chainguard 는 개발자가 파일, 컨테이너 이미지, 바이너리 등과 같은 소프트웨어 아티팩트에 안전하게 서명할 수 있는 표준인 Sigstore 를 만들었습니다. 태양을 위한 노래가 아니라 Linux Foundation, Red Hat 및 Purdue University에서 유지 관리하고 Kubernetes에서 채택했습니다.
최근 수십 년 동안 오픈 소스로 출시된 소프트웨어의 보안에 대한 우려가 커지고 있습니다. Heartbleed 및 Apache Log4j 취약점과 같은 스캔들 은 많은 프로젝트에 적절한 수준의 보안을 유지하는 데 필요한 도구가 없는 것으로 나타났습니다. 따라서 이러한 프로그램이 사용자와 회사에서 사용하는 소프트웨어의 보안을 실제로 향상시키는 경우 환영합니다.
답글 남기기