谷歌发布“OSS Rebuild”应对开源软件供应链安全问题

，导致维护人员倦怠和安全风险。 为此 Google发布了 OSS Rebuild 项目，试图解决这一问题，但 GitHub 希望获得欧盟主权科技基金 (EU-STF) 的更多资助。 该基金不会用于所有的开源项目；它将用于缺乏专项资金的广泛使用的组件，以

。 为了分析安全与 DevOps 之间的关系，报告探讨了软件供应链安全这一主题。研究人员称，在没有 CI/CD 的情况下，采用 SLSA（软件工件供应链）框架和SSDF（安全软件开发框架）等最佳实践是具有挑战性的。“如果没有这个

来自谷歌安全研究团队 Project Zero 的研究表明，Linux 开发者在修复安全漏洞方面比其他任何人（包括谷歌）都要更加迅速。 从 2019 年到 2021 年，Project Zero 在标准的 90 天期限内共向供应商报告了 376 个问题。这些  bug 中的 351

开发模式的了解。这项合作致力于在日益受到监管的软件供应链中推进开源模式。目前，该工作组已得到了众多开源组织和私营公司的大力支持。 截至公告发布之日，参与组织包括：Apache 软件基金会 (ASF)、Blender 基金会、罗

司是有国界的，而很明显，由此带来对整个开源生态乃至供应链的打击是没有国界的。 这种由地缘政治引发的贸易战延伸到技术领域乃至开源领域的混战，十分可悲。面对这样“连带”的制裁，开源生态如此大受打击，开源还

强软件治理与关键软件识别、开源操作系统的合规治理与供应链管理，由模块的架构位置确定其承上启下的作用、更换的代价，改善整体架构的复杂度与技术风险，从而保证业务场景和生产环境的平滑迁移与升级。 共话大迁移

产品等联网设备提供共同的安全要求，以便它们“在整个供应链和整个生命周期中都是安全的”。旨在结束设备运行不安全固件、无法轻松更新，或供应商对已退出市场的产品安全性关注甚少的弊端。该立法包括一个用于表明产

一部分分发的，因此这次攻击现在被称为xz攻击。 软件供应链安全问题在过去半个世纪中轮廓没有改变，因为它们是根本性的。在计算机安全领域没有简单的答案；软件供应链安全也不例外。我们能做的最好的事情就是不断提

谷歌、微软、OpenAI 和 Anthropic 发布联合声明，任命美国智库学会高管 Chris Meserole 为前沿模型论坛 (Frontier Model Forum) 首任执行董事。并宣布设立 1000 万美元的 AI 安全基金，“以推动正在进行的工具开发研究，帮助社会能够有效地

如约重聚，主旨演讲干货新鲜出炉，一起回顾一下！ 谷歌一直积极帮助开发者灵活运用前沿科技，探索创新的方式以解决现实问题，以科技之力应对变化，帮助他人，如 Google 大中华区总裁陈俊廷所强调：“谷歌一直在坚

的安全性。最近的研究报告显示，恶意镜像已经成为软件供应链攻击中的攻击手段。而软件物料清单(SBOM)是应对软件供应链攻击的工具之一。 什么是SBOM 软件物料清单 (SBOM) 是一份正式记录，其中包含用于构建软件的各种组件

Go 官方博客了他们应对供应链攻击的缓解措施。据称，Go 的工具链和设计在各个阶段均包含降低攻击风险的考虑。 所有构建都被“锁定 (locked)” 外部变化（例如发布依赖项的新版本）不会影响 Go 构建。 与其他大多数软件包

队；由 OpenSSF 的 Alpha-Omega Initiative (一个专注于开源软件供应链安全的 Linux 基金会项目) 以及该基金会的最新白金会员、Devops 平台供应商 JFrog 提供支持。 Alpha-Omega 和 JFrog 的投资还包括专门的员工资源，“这将使 Rust 基金会

谷歌宣布推出首个具有量子弹性的 FIDO2 安全密钥实现，作为开源安全密钥固件 OpenSK 的一部分。FIDO2 是快速身份在线验证标准的第二个主要版本，FIDO2 密钥可用于无密码验证和多因素验证 (MFA) 元素。 随着实现实用量子计算机