开源安全基金会新增成员，扩大行业影响力

关键要点

开源安全基金会OpenSSF增加超过十个新成员，包括金融巨头Capital One以及其他重要企业和学术机构。OpenSSF致力于提高开源软件的安全性，影响力遍及金融和科技领域。新成员的加入将进一步加强基金会在重要基础设施及关键服务上的影响。开源软件的安全性受到政府和行业的重视，因其在商业软件以及其他系统中的广泛应用。

开源安全基金会OpenSSF在周三宣布，将增加13个新成员，其中包括金融巨头Capital One、Akamai、Indeed、Kasten by Veeam、Scantist、SHE BASH、Socket Security、Sysdig、Timesys、ZTE、Eclipse Foundation、Perdue University和TODO Group。这一消息标志着这一非营利组织在包括私营行业、金融领域和学术界等多个领域的影响力得到了提升。

作为新成员之一，Capital One将以首席会员身份加入，获得基金会治理委员会的席位。OpenSSF已有GitHub、Google、IBM、Microsoft、AWS、Meta、Fidelity、Morgan Stanley、腾讯等知名科技和开源公司作为成员。

快连官方下载入口

扩展成员的重要性

OpenSSF负责人David A Wheeler在接受媒体采访时表示，虽然不同的基金会有不同的加入规则，但OpenSSF的标准非常宽泛，因为几乎所有人都受到开源软件安全性问题的影响。他提到，每个成员都带来了各自的专业知识，能为开源软件的使用和部署贡献力量。

新成员领域Capital One金融行业Akamai网络安全Indeed招聘平台Kasten by Veeam数据管理Scantist软件安全SHE BASH女性科技社区Socket Security网络安全Sysdig云安全Timesys嵌入式开发ZTE通信技术Eclipse Foundation开源软件开发Perdue University学术界TODO Group开放社区

Capital One的高管Chris Nims表示，作为广泛采纳开源技术的公司，他们非常自豪能够加入OpenSSF，与全球技术领袖共同努力加强软件安全供应链。他强调，合规与治理是Capital One的强项，他们期待与其他成员合作，推动OpenSSF的使命，并回馈开源社区。

由于成员需支付费用以支持OpenSSF的工作，选择更高收费的首席会员在治理委员会中拥有席位。然而，参与基金会工作并不强制缴纳费用，工作组及项目相关决策由指导委员会和项目维护者负责。

开源软件的安全性日益受关注

虽然开源软件的安全性与专有软件并无本质区别，但由于开源代码在商业软件和其他系统中的广泛应用，政府和行业已开始更加重视其风险。近年来，多起高调的网络事件，如Log4j漏洞，使得开源软件的安全问题愈加突出。

例如，Sonatype在3月时表示，已发现超过130个针对npm的“打字错误钓鱼”包，以及十多个针对热门Python存储库的攻击。这类攻击的目的包括安装加密货币挖矿软件、窃取凭证和身份验证令牌，甚至在受害系统中创建后门获取访问权限。

近期，OpenSSF在由白宫主办的开源安全峰会上公布了一个十点计划，旨在推动多个工作领域的发展，包括减少开源软件的补丁响应时间、开发新指标来跟踪代码和组件、推进产业向安全编程语言转型、建立紧急响应团队框架等，计划每年对最关键的200个开源安全组件进行第三方审查。这一系列措施将为增强开源软件的安全性提供宝贵支持。