OpenSSF 将 SBOM 和 SDPX 引入 Python


开源安全基金会 (OpenSSF) 在欧洲开源峰会上宣布,他们已拥有实施 SBOM Everywhere 所需的资金,计划将软件材料清单 (SBOM) 引入所有编程语言和框架,首先是 Python。

其目标是提高所有开源软件的弹性和安全性。而它向着 SBOM 成功迈出的第一步就是,资助软件包数据交换 (SPDX) Python 库的工作。该项目的工作于 9 月 1 日开始。

根据介绍,SPDX 是描述 SBOM 的 ISO 标准。虽然 Python 已经有一个 SPDX 库,但由于缺乏支持,它已经过时了。Anchore 安全副总裁兼 Kate Stewart SPDX 技术主管 Josh Bressers 解释称:“SPDX python 库需要更新,以使其与更现代的 SPDX 版本保持一致;并将代码变成更易于维护的东西,以减小社区贡献难度。SPDX python 库没有具备适当技能或资金的志愿者来完成这项工作。然而,OpenSSF 确实有可以实现这一目标的资金。”

一旦完成,为任何 Python 程序创建 SBOM 将会容易得多。反之,这也将加强你的代码安全。

OpenSSF 方面表示,为代码改进付费并不意味着他们将控制 SPDX Python 库,这不是他们的目的所在;相关的领导决策权仍在 Python 软件基金会和创始人/主席 Guido van Rossum 手中。OpenSSF 此举的原因在于,保护所有开源软件的工作“不仅仅是 OpenSSF,而且将使得整个开源社区受益。”

OpenSSF 总经理 Brian Behlendorf 表示,很快将会有更多语言获得所需的支持,将 SBOM 作为其管理开发管道的组成部分添加。但这一过程需要时间,预计不能很快到来。


相關推薦

2022-06-28

OpenSSF 方面承诺其 Alpha-Omega Project 将提供 80 万美元的资金,供 Python 软件基金会(PSF)和 Eclipse 基金会进行平分。 Alpha-Omega Project 于今年 2 月启动,旨在与开源软件项目维护者合作,系统地发现开源软件中中新的、尚未发现的漏

2022-07-15

微软近日将其用于公司内部的 SBOM(Software Bill of Materials,软件物料清单)生成工具开源,以帮助技术行业和 IT 决策者更好地了解其工具的安全性以及软件供应链的依赖关系。 SBOM 的核心是建立一个软件所使用的组件之间在供应

2023-03-04

2020 年,谷歌联合开源安全基金会 (OpenSSF) 推出"Criticality Score",这是一个能够通过具体指标来量化开源项目重要性/关键性的评估工具。这些指标包括开源项目创立时间长度、贡献者数量、提交频率、过去一年的发版数量、过去 90

2022-12-06

完美符合当前主流的工程理念。 便于生成软件物料清单(SBOM) 不提供手工上次镜像的功能的另一个理由是保证公共库镜像的安全性。最近的研究报告显示,恶意镜像已经成为软件供应链攻击中的攻击手段。而软件物料清单(SBOM)

2022-09-15

组织 Rust 基金会宣布,将建立一个专门的安全团队;由 OpenSSF 的 Alpha-Omega Initiative (一个专注于开源软件供应链安全的 Linux 基金会项目) 以及该基金会的最新白金会员、Devops 平台供应商 JFrog 提供支持。 Alpha-Omega 和 JFrog 的投

2023-05-30

a 基金会执行董事,PyTorch 基金会执行董事 Ibrahim Haddad OpenSSF 总经理 Brian Behlendorf Open 3D 基金会执行董事,Open Metaverse 基金会执行董事 Royal O'Brien Hyperledger 基金会执行董事 Daniela Barbosa Linux 基金会培训及认证高级副总裁

2023-02-25

洞利用并保持开源代码更新,组织应使用软件物料清单 (SBOM)。“在今年的审计中,开源组件的平均数量增加了 13%(从 528 个增加到 595 个),进一步强调了实施全面的 SBOM 的重要性;全面的 SBOM 列出了应用程序中的所有开源组件

2022-10-16

测,连接 github 仓库时,无法自己修改分支名称。 fix(sbom分析):解决 sbom 分析里,镜像检测结果详情显示字段不正确的问题。 fix(sbom 分析):修复 sbom 列表字段展示问题。 fix(云资源检测):解决分组检测重复检测的

2024-08-28

件,包括 FreeBSD Ports 和软件包集,以帮助符合法规要求 SBOM 改进:增强并实施 FreeBSD SBOM 的新工具和流程 FreeBSD 基金会执行董事 Deb Goodkin 称: “这笔重大投资将进一步增强 FreeBSD 开发者和用户的安全性和基础设施。三十

2022-10-19

GUN Toolchain 社区联合 Linux 基金会 (LF) 和开源安全基金会 ( OpenSSF) 共同宣布了一个重要的新项目:GNU Toolchain Infrastructure project (GTI),主要是讨论将 GUN Toolchain 使用的基础设施从 SourceWare.org 迁移到 Linux 基金会的 IT 服务。 一直

2023-03-22

公司的 20 多位 CISO 和 CTO 合作,总结了因依赖开源软件而引入的 10 大安全和运营风险。 “尽管软件供应链严重依赖 OSS,但该行业缺乏一致的方式来理解和衡量 OSS 的风险。OSS 中的风险管理从许可证管理开始,然后演变为 CVE,

2023-12-06

py 是识沃团队最新推出的开源项目,目标是为 PHP 引入 Python 生态,来弥补 PHP 生态的空缺和不足。phpy 使得 PHP 可以调用所有 Python 的包。 包括当下非常流行的 PyTorch、transformers、Tenso

2023-10-18

>>> Ruff v0.1.0 已发布,此版本主要变化包括提升稳定性、引入新的预览模式、引入 fix safety 等级,以及执行正式的版本控制策略。 新的预览模式 通过预览模式,用户可自行选择体验新功能——用于启用新规则、不稳定修

2022-08-10

hon 3.11 的主要变化 PEP 657 – 在错误信息报告中引入细粒度的 Error Locations PEP 654 –  Exception Groups and except* PEP 673  - Self 类型 PEP 646  - 可变参数泛型 (Variadic Generics) PEP 680 - tomllib:支持在标