OpenSSF 方面承诺其 Alpha-Omega Project 将提供 80 万美元的资金,供 Python 软件基金会(PSF)和 Eclipse 基金会进行平分。
Alpha-Omega Project 于今年 2 月启动,旨在与开源软件项目维护者合作,系统地发现开源软件中中新的、尚未发现的漏洞,并将其修复以提高全球软件供应链安全。其中,"Alpha"将与最关键的开源项目的维护者合作,帮助他们识别和修复安全漏洞,并改善他们的安全状况。"Omega"则将确定至少 10,000 个广泛部署的OSS 项目;在这些项目中,它可以将自动安全分析、评分和补救指导应用于其开源维护者社区。
公告指出,OpenSSF 将向 PSF 提供 40 万美元,以创建一个 new role,为 Python、PyPI 和 Python 生态系统的其他部分提供安全专业知识,以及资助安全审计。“这项投资将使 PS F能够正式确定现有的安全实践,并进行更积极的安全改进。这个 new role 将负责识别和解决整个 PSF 项目的安全问题,如 CPython 和 PyPI;并运用全职的知识和专业知识与志愿者一起及时实施关键的改进。”
Eclipse 基金会则计划利用这笔资金:
- 为所有 Eclipse Foundation 项目库自动生成 static source-based SBOM (软件物料清单)。
- 为 Eclipse 基金会项目实施 SLSA-based project badging program。
- 为高知名度的 Eclipse 基金会项目启动多项安全审计。
Eclipse 基金会执行董事 Mike Milinkovich 称,“来自 OpenSSF Alpha-Omega project 的资金将使 Eclipse 基金会能够开始将全职员工投入到安全主题中,为我们的几个高知名度项目执行有针对性的安全审计,并推出计划来帮助我们的社区。对于像 Eclipse 基金会这样庞大的开源社区来说,安全性是一个涉及广泛技术和流程的巨大主题。我们的最终目标是为我们的项目提供增强的工具、流程和培训,以全面提高安全性。”