开源安全基金会新增成员，扩大行业影响力

关键要点

• 开源安全基金会（OpenSSF）增加超过十个新成员，包括金融巨头Capital One以及其他重要企业和学术机构。
• OpenSSF致力于提高开源软件的安全性，影响力遍及金融和科技领域。
• 新成员的加入将进一步加强基金会在重要基础设施及关键服务上的影响。
• 开源软件的安全性受到政府和行业的重视，因其在商业软件以及其他系统中的广泛应用。

开源安全基金会（OpenSSF）在周三宣布，将增加13个新成员，其中包括金融巨头Capital One、Akamai、Indeed、Kasten byVeeam、Scantist、SHE BASH、Socket Security、Sysdig、Timesys、ZTE、EclipseFoundation、Perdue University和TODOGroup。这一消息标志着这一非营利组织在包括私营行业、金融领域和学术界等多个领域的影响力得到了提升。

作为新成员之一，CapitalOne将以首席会员身份加入，获得基金会治理委员会的席位。OpenSSF已有GitHub、Google、IBM、Microsoft、AWS、Meta、Fidelity、MorganStanley、腾讯等知名科技和开源公司作为成员。

扩展成员的重要性

OpenSSF负责人David A.
Wheeler在接受媒体采访时表示，虽然不同的基金会有不同的加入规则，但OpenSSF的标准非常宽泛，因为几乎所有人都受到开源软件安全性问题的影响。他提到，每个成员都带来了各自的专业知识，能为开源软件的使用和部署贡献力量。

新成员 | 领域
—|—
Capital One | 金融行业
Akamai | 网络安全
Indeed | 招聘平台
Kasten by Veeam | 数据管理
Scantist | 软件安全
SHE BASH | 女性科技社区
Socket Security | 网络安全
Sysdig | 云安全
Timesys | 嵌入式开发
ZTE | 通信技术
Eclipse Foundation | 开源软件开发
Perdue University | 学术界
TODO Group | 开放社区

Capital One的高管ChrisNims表示，作为广泛采纳开源技术的公司，他们非常自豪能够加入OpenSSF，与全球技术领袖共同努力加强软件安全供应链。他强调，合规与治理是CapitalOne的强项，他们期待与其他成员合作，推动OpenSSF的使命，并回馈开源社区。

由于成员需支付费用以支持OpenSSF的工作，选择更高收费的首席会员在治理委员会中拥有席位。然而，参与基金会工作并不强制缴纳费用，工作组及项目相关决策由指导委员会和项目维护者负责。

开源软件的安全性日益受关注

虽然开源软件的安全性与专有软件并无本质区别，但由于开源代码在商业软件和其他系统中的广泛应用，政府和行业已开始更加重视其风险。近年来，多起高调的网络事件，如Log4j漏洞，使得开源软件的安全问题愈加突出。

例如，Sonatype在3月时表示，已发现超过130个针对npm的“打字错误钓鱼”包，以及十多个针对热门Python存储库的攻击。这类攻击的目的包括安装加密货币挖矿软件、窃取凭证和身份验证令牌，甚至在受害系统中创建后门获取访问权限。

近期，OpenSSF在由白宫主办的开源安全峰会上公布了一个十点计划，旨在推动多个工作领域的发展，包括减少开源软件的补丁响应时间、开发新指标来跟踪代码和组件、推进产业向安全编程语言转型、建立紧急响应团队框架等，计划每年对最关键的200个开源安全组件进行第三方审查。这一系列措施将为增强开源软件的安全性提供宝贵支持。