2022年开源安全迈出了一大步。开源安全不仅是今年各大网络安全会议议程的重中之重，业界还推出了大量相关措施、项目和指南，以期提高开源代码、软件和开发的网络弹性。

Linux基金会开源供应链安全主管David A. Wheeler指出：提高开源安全性极为重要，因为世界正运行在软件之上。最新研究表明，今天的应用程序平均70%到90%的源代码都来自开源软件(OSS)组件，如果OSS容易受到攻击，就会出现严重问题。”

以下，是2022年八个值得关注的开源安全计划（按时间顺序）。

白宫开源安全峰会

1月，白宫召集政府和私营部门讨论提高开源软件安全性的举措。会议参与者包括负责网络和新兴技术的国家安全副顾问Anne Neuberger和国家网络总监Chris Inglis，以及来自Akamai、亚马逊、苹果、微软、Cloudflare、Facebook/Meta、Linux基金会、开源安全基金会等科技公司的代表。

“与会者就如何在开源软件的安全性方面产生影响，同时有效地参与和支持开源社区进行了实质性和建设性的讨论，”白宫的一份宣读报告称：“讨论集中在三个主题：防止代码和开源包中的安全缺陷和漏洞，改进发现和修复漏洞的过程，以及缩短分发和实施修复程序的响应时间。”

白宫声称，所有参与者将在未来几周继续讨论以支持这些举措，这些举措对所有感兴趣的公共和私人利益相关者开放。

OpenSSF、Linux基金会发布开源软件安全动员计划

5月，OpenSSF和Linux基金会发布了开源软件安全动员计划，提出了十大战略，其中包括在开源软件中针对底层组件和操作进行短期和长期改进的步骤。它的三个核心安全目标是：

• 通过专注于防止代码和开源包中的安全缺陷和漏洞来保护开源软件的开发。
• 通过改进发现和修复缺陷的流程来改进漏洞的发现和修复。
• 通过加快修复补丁的分发和实施来缩短生态系统修补响应时间。

“广泛部署的软件中的漏洞对现代社会的安定构成了系统性威胁，因为政府服务、基础设施提供商、非营利组织和绝大多数私营企业都依赖软件来运作，”OpenSSF写道：“是时候将安全最佳实践应用于整个软件生态系统，包括开源，包括更全面的一系列投资，将安全性从被动方法转变为主动方法。”

JFrog推出Pyrsia项目，以保护开源软件包、二进制代码

5月，JFrog宣布推出Pyrsia项目（Project Pyrsia），这是一个去中心化的、网络和软件安全开发包存储库，它使用区块链技术来保护开源软件包免受漏洞和恶意代码的影响。该公司表示，该项目旨在帮助开发人员为其软件组件建立来源链，从而确立信心和信任。“使用Pyrsia，开发人员可以放心地使用开源软件，因为他们知道框架中的组件没有受到损害，而无需开发、维护或操作复杂的流程来安全地管理依赖项。”JFrog指出，该框架将有助于提供：

• 用于开源软件的独立、安全的开发网络
• 软件包的可信度
• 已知开源软件依赖项的完整性

“在JFrog，我们相信只有为社区提供与企业相同的工具和服务，开源安全才会成功，”JFrog开发人员关系副总裁Stephen Chin评论道：“开源、可定制的架构和壮大、活跃的社区相结合，使Pyrsia成为获取安全软件包的最透明和最值得信赖的方式。”

OpenUK启动开源安全之夏

6月，OpenUK推出了“开源安全之夏”，这是一项为期两个月的计划，其中包括专门针对开源软件安全和供应链管理的活动、讲座和播客。对话聚焦全球政府和企业在基于开源软件的国家关键基础设施方面的定位，以及开源软件的维护、防护和管理。

GitGuardian宣布ggcanary项目来检测开源软件风险

7月，代码安全平台提供商GitGuardian宣布启动一个开源项目（ggcanary），以帮助组织检测受损的开发人员和DevOps环境。该公司表示，ggcanary项目旨在帮助企业更快地发现漏洞，并具有以下功能：

• 基于Terraform，使用HashiCorp开发的流行的基础设施即代码软件工具来创建和管理AWS的canary令牌
• 高度敏感的入侵检测，使用AWS CloudTrail审计日志来跟踪攻击者对canary令牌执行的所有类型的操作
• 部署在组织内部边界、源代码存储库、CI/CD工具、工单和消息传递系统（如Jira、Slack或Microsoft Teams）中的多达5000个活动AWS canary令牌的可扩展性
• 自身的警报系统与AWS简单电子邮件服务(SES)、Slack和SendGrid集成。用户还可以将其扩展为向SOC、SIEM或ITSM转发警报

谷歌推出开源软件漏洞赏金计划

8月，谷歌启动了开源软件漏洞奖励计划(OSS VRP)，以奖励在谷歌的开源项目中的漏洞发现。在一篇博客文章中，谷歌指出OSS VRP计划鼓励安全研究人员报告谷歌产品组合的开源软件中具有重大影响的漏洞，范围如下：

• 存储在谷歌GitHub公共存储库中的所有最新版本的开源软件（包括存储库设置）
• 这些项目的第三方依赖项（在提交到Google的OSS VRP之前需要事先通知受影响的依赖项）

“最高奖项将颁发给在最敏感项目中发现的漏洞，这些项目包括：Bazel、Angular、Golang、Protocol buffers和Fuchsia。”谷歌表示，为了集中精力发现对供应链影响最大的发现，它欢迎提交：

• 导致供应链受损的漏洞
• 导致产品漏洞的设计问题
• 其他安全问题，例如敏感或泄露的凭据、弱密码或不安全的安装

谷歌表示，漏洞奖金范围从100美元到31337美元不等，具体取决于漏洞严重程度和项目重要性。

CISA、NSA发布开源软件供应链安全指南

8月，美国网络安全和基础设施安全局(CISA)和美国国家安全局(NSA)发布了开源软件供应链安全指南，建议开发人员如何更好地保护美国软件供应链，重点关注开源软件。

“开发者应该使用专门的系统来下载、扫描和执行对开源库的定期检查，以查找新版本、更新以及已知或新漏洞，”该指南中写道：“与所有软件一样，我们强烈建议对开发人员进行有关使用开源软件、闭源软件以及最佳缓解措施和注意事项的教育。”

管理团队还应建立、管理和应用与开源软件相关的发布标准，该指南补充说，应确保所有开源软件的发布都符合公司范围的标准，包括源代码的漏洞评估。

OpenSSF发布npm最佳实践，帮助开发者应对开源依赖风险

9月，OpenSSF发布了npm最佳安全实践指南，以帮助JavaScript和TypeScript开发人员降低与使用开源依赖项相关的安全风险。该指南出自OpenSSF最佳实践工作组之手，侧重于npm的依赖项管理和供应链安全，涵盖了各个领域，例如如何设置安全的CI配置、如何避免依赖项混淆以及如何降低依赖项被劫持造成的损失。

Linux基金会的Wheeler表示，开发人员使用开源组件带来的最大安全风险是低估了直接和间接依赖项中的漏洞的潜在影响。“任何软件都可能存在缺陷，如果不小心，可能会严重影响使用它的供应链。很多时候，许多依赖项是不可见的，开发人员和组织很难确保堆栈的所有层都不出问题。解决方案不是因噎废食停止重用软件，而是审慎明智地重用软件，随时准备好在发现漏洞时更新组件。”

来源：GoUpSec