JFrog和行业领袖参加白宫开源软件安全峰会

数量，复杂性和严重性都是毋庸置疑的软件供应链攻击去年增加了。近几个月来JFrog安全研究团队追踪了近20种不同的开源软件供应链攻击，其中两种是零日威胁。这种持续不断的漏洞和恶意软件包正在推动开源领导者和更广泛的技术社区与拜登政府、国家安全组织和美国联邦机构一起制定一项行动计划，以最好地解决这些攻击。

发生在同一周这是拜登政府发布行政命令一周年纪念日白宫主办了第二部分开源软件安全峰会，5月12 - 13日2022年，与最初的峰会参与者。这是1月13日会议来自37家公司的90名高管参加了这次活动，其中包括我们在Linux基金会的合作伙伴JFrog，以及他们的开源安全基金会(OSSF)。会议的目标是确定挑战，并就增强开源软件弹性的方法分享想法，然后达成一致意见行动计划巩固开源软件供应链安全。

适应新的现实

而开源一直被视为现代化的种子，最近软件供应链攻击的增加表明，需要围绕验证开源存储库进行更严格的流程。让开源变得复杂的是，微服务和容器隐藏在软件的深处。所有这些都是为了使开发更快、更有效，但这也带来了漏洞。例如，容器非常适合运输应用程序，但不幸的是，它们也使隐藏东西变得容易。

因此，在JFrog，我们相信只有我们为OSS项目提供与企业相同的工具和服务，开源安全才会成功。对于开源项目来说，访问自动化工具和高质量的安全数据库是必不可少的，这也是JFrog致力于帮助实现的。

在上周的OSS安全峰会上，我们JFrog认为有两个领域的讨论特别重要:

1. soms是为开源供应链漏洞提供透明度的最关键部分之一。今天的挑战是建立一个端到端的SBOM就像摇摇晃晃地堆叠一个手工建造的叠叠塔，很容易发生变化。为了取得成功，标准和工具需要自动化，并像堆叠中的乐高积木一样组合在一起，以便他们寻找的安全元素可以无缝集成。例如，从构建和CI / CD系统，JFrog已经开源建立信息它是一个命令行工具，可以自动从各种语言和构建工具的构建输出中提取SBOM信息。中小企业不应该再是一件值得拥有的事情，而是必须拥有的事情。

1. 专注于更好地增强10个最关键的OSS构建系统、包管理器和分发系统软件供应链安全工具和最佳实践，这将有助于解决脆弱的软件。

作为指定的CNA, JFrog安全研究团队不断监控开源软件库中的恶意软件包，这些软件包可能导致广泛的软件供应链攻击，并相应地向社区发出警报。因此，我们知道软件存储库是多么脆弱。强化现有的中央存储库是必要的，但还不足以确保软件供应链的安全。我们相信开源软件社区需要这样做建立一个分散的包管理系统它只分发独立构建和验证的二进制文件。

JFrog很自豪能够与Linux基金会和其他OpenSSF安全软件成员合作，设计一套技术、流程、认证和政策，以帮助保护我们国家的关键基础设施，同时培养开源软件的核心原则之一——创新。

上周的峰会是朝着制定纲要迈出的重要一步商定的行动计划10个计划的综合组合，可以立即解决强化软件供应链的三个基本目标:

1. 保护开源安全产品
2. 改进漏洞发现和补救，以及
3. 缩短生态系统补丁响应时间

我们鼓励你看看这份报告，让我们知道你的想法。

阅读报告

看看媒体是怎么说白宫开源软件安全峰会的:

• “开源软件(OSS)的维护者将为他们自己的项目获得额外的安全工具，而使用OSS的开发人员(大约97%的软件使用OSS)将获得更多关于安全的数据。”——罗伯特·莱莫斯黑暗的阅读

• “确保开源软件供应链的安全是一件大事。去年，拜登政府发布了一份提高软件供应链安全的行政命令。这是在殖民管道勒索软件攻击关闭了东南地区的天然气和石油输送SolarWinds软件供应链攻击。保护软件安全成为当务之急。”- - - - - -史蒂文Vaughan-Nichols，ZDnet

• Stephen Chin指出:“最终，对软件供应链安全的关注将推动DevSecOps最佳实践的采用……事实上，对更安全软件的需求可能会加速向容器的转变，因为它们比单片应用程序更容易被破坏和替换，而单片应用程序更难打补丁。”——迈克·维扎德安全大道
• 在他们的计划中，Linux基金会和OpenSSF表示，多个行业已经将SBOM确定为解决开源安全问题的基本构建块。但是，为了适当地应对这一挑战，soms的采用必须广泛、标准化和准确。“通过专注于工具和宣传，我们可以消除各地soms产生、消费和整体采用的障碍。我们可以改善整个开源生态系统的安全状况:生产者、消费者和维护者。- - - - - -布莱恩·佩雷拉，GovInfoSecurity