微软加入开源安全基金会

微软多年来一直致力于开源软件的安全，今天我很高兴地宣布，微软正与行业合作伙伴共同创建开源安全基金会（OpenSSF），这是一个由Linux基金会主办的新跨行业协作组织。OpenSSF汇集了Linux基金会发起的核心基础设施倡议（CII）、GitHub发起的开源安全联盟（OSSC）以及其他开源安全工作的成果，通过建立更广泛的社区、有针对性的倡议和最佳实践来提升开源软件的安全性。微软很荣幸能与GitHub、谷歌、IBM、JPMC、NCC Group、OWASP Foundation和Red Hat一起成为创始成员。

开源软件几乎是每家公司技术战略的核心，确保其安全是保护每家公司（包括我们自己）供应链安全的重要组成部分。随着开源软件的普及，攻击者目前正在利用各种关键服务和基础设施中的漏洞，包括公用事业、医疗设备、交通运输、政府系统、传统软件、云服务、硬件和物联网。

开源软件本质上是社区驱动的，因此没有中央机构负责质量和维护。由于源代码可以被复制和克隆，版本管理和依赖关系尤其复杂。开源软件也容易受到针对社区本质的攻击，例如攻击者成为项目的维护者并引入恶意软件。鉴于开源软件的复杂性和社区性质，构建更好的安全性也必须是一个社区驱动的过程。

微软多年来参与了多个开源安全倡议，我们期待将这些工作整合到OpenSSF的框架下。例如，我们一直在与OSSC积极合作，主要集中在以下四个领域：

• 识别开源项目的安全威胁
  帮助开发者更好地理解开源软件生态系统中存在的安全威胁，以及这些威胁如何影响特定的开源项目。

• 安全工具
  为开源开发者提供最佳的安全工具，使其普遍可用，并创建一个空间，让成员可以协作改进现有的安全工具，并开发新的工具以满足更广泛开源社区的需求。

• 安全最佳实践
  为开源开发者提供最佳实践建议，并提供一种简单的方式来学习和应用它们。此外，我们一直致力于确保最佳实践能够广泛分发给开源开发者，并利用有效的学习平台来实现这一目标。

• 漏洞披露
  创建一个开源软件生态系统，其中修复漏洞并在整个生态系统中部署修复的时间以分钟而不是月为单位衡量。

我们期待参与未来的OpenSSF工作，包括保护关键开源项目（保证、响应）、开发者身份以及开源安全漏洞的赏金计划。

我们很兴奋也很荣幸能够将OSSC的工作推进到OpenSSF，并期待与开源社区一起作为该基金会的一部分开发许多改进。

要了解更多信息并参与其中，请加入我们：https://openssf.org 和 GitHub：https://github.com/ossf。

Mark Russinovich，微软Azure CTO