网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　如何实现开源安全长治久安？

　　加强对开源信誉的重视

　　开源是建基于信任之上的创新，失去信誉必遭遗弃。在互联网上，根证书颁发机构应该是一个安全、正直、中立的信誉证书颁发机构。对互联网这样的社区公共资源来说，完全和彻底的中立性是至关重要的。

　　TrustCor 系统是一家根证书机构（root certificate authority），在互联网基础设施中处于关键位置。但在《华盛顿邮报》11 月 30 日的一篇报道中揭露，TrustCor 与一个疑似生产恶意软件的美国军事承包商有联系。随后，微软 Edge 和 Mozilla Firefox 停止将其识别为值得信赖的证书机构。

　　更多的软件供应链安全最佳实践和指南

　　2022 年 8 月，美国国家安全局（NSA）、ODI 和美国国防部的其他机构鉴于网络攻击日益严重，发布了一份关于软件供应链安全要求和标准的更详细的指南 （Securing the Software Supply Chain: Recommended Practices for Developers ），未来，这个框架将持续指导企业和软件行业。OpenSSF 开源安全基金会成立之初也建立了最佳实践工作组，已经发布了一系列的最佳实践。

　　立法保护

　　欧盟委员会公布网络韧性法案（Cyber Resilience Act），该法案将要求联网设备的制造商在发货前确保设备的安全性、保证提供五年的系统补丁、24 小时的安全事件报告，并及时披露和修复缺陷，保证修复后的设备在五年内正常使用。对此，中国制造业需要特别留意，不遵守规定可能罚款 1500 万美元（1500 万欧元），或上一财政年度全球总营业额的 2.5%。

　　加强开源安全教育

　　这也是 OpenSSF 开源安全基金会发布的保护开源软件计划中的关键部分，教导开发者如何编写更安全的代码，对减少软件漏洞至关重要。

　　要发展教育，增加网络安全专家的数量很有必要。全球都面临着安全专家短缺的难题，美国政府曾宣布第一个网络安全学徒冲刺计划，很值得全球推广。该计划雇用了数千名学徒，可惜像这样的好消息没有得到多少媒体的关注。我们可以通过教育拥有一个更安全的未来。

　　完善代码托管平台的安全功能

　　过去一年，GitHub 发布了一个新的 Action，可以自动向 Dependabot API 提交 SPDX SBOM，这让人们在依赖性管理中利用 SBOM 变得更加容易。另外，GitHub 公共代码库的所有者和管理者可以启用私人漏洞报告，让安全研究人员在资源库中安全地报告漏洞。

　　安全研究人员经常感觉有责任提醒用户注意可能被利用的漏洞，而直接给维护者发信息，可能会制造公共问题，导致漏洞细节的公开披露。但私人漏洞报告就能让安全研究人员很容易使用一个简单的表格直接向你发报告漏洞，该服务目前是 Beta 状态。

　　做好软件供应链安全关键基础设施建设

　　Sigstore 是最关键的基础设施之一。Sigstore 一经出现，就成为了历史上采用最快的开源技术之一，迄今为止，已经有超过 400 万个软件签名使用Sigstore 进行记录，世界上最大的两个开源社区：Kubernetes 和 Python 已经用 Sigstore 签署他们的生产版本。

　　去年 10 月，Sigstore 社区宣布其免费软件签署服务 GA，可用于代码签署和验证，使开源社区获得生产级的稳定服务。这也是软件供应链安全的一个里程碑。

　　这一年，尽管 OpenSSF 开源安全基金会的 8 个工作组在开源安全方面做了大量工作，也取得了很多成就，其成员单位也突破 100 家企业，但开源安全的建设仍然任重道远。开源安全是一场马拉松，在未来的日子里，希望全球协作，守好开源安全这道防线。