微软加入开源安全基金会

微软多年来一直投资于开源软件安全，今天，我们很高兴宣布微软将与行业伙伴共同创建开源安全基金会（OpenSSF）。这是一个由Linux Foundation托管的新跨行业协作组织。OpenSSF整合了Linux Foundation发起的核心基础设施倡议（CII）、GitHub发起的开源安全联盟（OSSC）以及其他开源安全工作，旨在通过建立更广泛的社区、针对性举措和最佳实践来提升开源软件的安全性。微软很荣幸与GitHub、Google、IBM、JPMC、NCC Group、OWASP Foundation和Red Hat一起成为创始成员。

开源软件几乎是每个公司技术战略的核心，确保其安全是保护每个公司（包括我们自己）供应链安全的关键部分。随着开源软件的普及，攻击者目前正在利用各种关键服务和基础设施中的漏洞，包括公用事业、医疗设备、交通、政府系统、传统软件、云服务、硬件和物联网。

开源软件本质上是社区驱动的，因此没有中央机构负责质量和维护。由于源代码可以被复制和克隆，版本管理和依赖关系尤其复杂。开源软件也容易受到针对社区本质的攻击，例如攻击者成为项目维护者并引入恶意软件。鉴于开源软件的复杂性和社区性质，构建更好的安全性也必须是一个社区驱动的过程。

多年来，微软参与了多个开源安全倡议，我们期待将这些工作整合到OpenSSF的框架下。例如，我们一直在与OSSC积极合作，专注于以下四个主要领域：

• 识别开源项目的安全威胁：帮助开发者更好地理解开源软件生态系统中存在的安全威胁，以及这些威胁如何影响特定的开源项目。
• 安全工具：为开源开发者提供最佳安全工具，使其普遍可用，并创建一个成员可以协作改进现有安全工具并开发新工具的空间，以满足更广泛开源社区的需求。
• 安全最佳实践：为开源开发者提供最佳实践建议，并提供一种简单的方式来学习和应用它们。此外，我们一直致力于确保最佳实践能够广泛分发给开源开发者，并利用有效的学习平台来实现这一目标。
• 漏洞披露：创建一个开源软件生态系统，其中修复漏洞并在整个生态系统中部署修复的时间以分钟而非月为单位衡量。

我们期待参与未来的OpenSSF工作，包括保护关键开源项目（保证、响应）、开发者身份以及开源安全漏洞的赏金计划。

我们很兴奋也很荣幸能够将OSSC的工作推进到OpenSSF，并期待与开源社区一起作为该基金会的一部分开发许多改进。

要了解更多信息并参与其中，请加入我们的网站https://openssf.org和GitHub上的https://github.com/ossf。

Mark Russinovich，微软Azure首席技术官