聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
为应对不断增长的软件供应链安全事件,美国政府启动大规模网络安全计划,首个措施就是颁布白宫行政令14028,旨在改进国家网络安全状况,进而促成 NIST 软件安全开发框架安全开发最佳实践指南的产生。
最近,美国颁布了《国家网络安全战略》,为软件安全责任开设先例,旨在使软件厂商为因可防御的安全漏洞而导致的损失担责,并且免于那些能够展示遵照软件安全开发实践的组织机构担责。
同时,行业领导企业共同明确将改进开源软件安全性的最佳实践和标准,如开源软件安全基金会 (OSSF) 推出的 Scorecodes 项目和软件构件的供应链层级框架 (SLSA)。
该报告邀请了300多名开源维护人员,他们创建并维护开源软件项目。在受访中他们都提到被要求承担更多工作,满足政府和行业标准要求,并需要了解与标准相关的更多信息,以及如果他们有足够的资源以及回报,如何将这些标准应用到这些开源包中。
但现状并非如此。60%的维护人员自称为“没有收入的爱好者”,仅有13%的维护人员把自己定位称专业的维护人员即大部分或全部收入源自项目维护工作。
该公司的首席执行官 Donald Fischer 表示,“鉴于几乎所有组织机构的应用程序都严重依赖于开源,这一新数据表明负责关键开源组件健康和安全的维护人员亟需得到报酬和支持。维护人员虽然为项目的安全和符合新标准而担责,但并未获得认可也并未因额外工作而获得报酬。为解决这个不一致性,我们能够确保维护人员将继续从事这一重要工作,改善政府和行业所需的开源软件供应链的安全性和长期弹性。”
报告发现:
(1)尽管要求增多,但多数维护人员仍然没有报酬。
60%的维护人员自称为“没有收入的爱好者”,仅有13%的维护人员把自己定位称专业的维护人员,23%的维护人员自称为半专业人员即某些收入来自项目维护工作。
维护人员获得的报酬越多,他们对开源的投入就越多。每个月在维护项目上投入时间超过20个小时的人员比例分别是:专业维护人员81%、半专业维护人员27%、未获得报酬的爱好者维护人员7%。
(2)维护人员被要求做更多的安全工作。超过50%的人对此不了解。
超过50%的维护人员未意识到多项安全新标准的存在如 OSSF Scorecards、SLSA和 NIST SSDF。
在了解其中一项或多项标准的维护人员中,43%的人员已开始按标准行事或者计划在明年开展相关工作。
39%的维护人员没有开展符合这些行业标准的计划,19%的维护人员仍然犹豫不决,他们或者不了解或者不确定是否开展相关工作以确保自己的开源包符合这些行业标准。
(3)维护人员没钱没时间贡献更多。
在不打算按照行业标准开展工作的维护人员中,38%的维护人员表示没有做这些工作的时间,而37%的维护人员给出的理由是没有收到相关报酬。
54%的维护人员希望获得帮助,以便更好地了解这些新标准以及如何应用于项目;而47%的维护人员希望获得相关报酬。
(4) 获得报酬的维护人员做的安全和维护工作更多。
在所有相关实践中,获得报酬的维护人员更可能执行这些实践或者将其标记在路线图上。超过50%的获得报酬的维护人员已经执行或者计划执行12项(共16项)常见的安全和维护实践。而未获得报酬的维护人员仅执行获计划执行其中的5项。
获得报酬和未获得报酬的维护人员在某些重要的安全和维护实践上的差异巨大。其中差异最大的实践项目如下:
|
实践项目 |
未获得报酬的维护人员 |
获得报酬的维护人员 |
差距 |
|
正式的向后兼容性 |
39% |
71% |
32% |
|
已定义的依赖管理流程 |
26% |
57% |
31% |
|
可复现和验证的构建流程 |
47% |
77% |
30% |
|
安全披露计划 |
42% |
69% |
27% |
|
提供漏洞修复方案和建议 |
43% |
69% |
26% |
趁机买走热门包唯一维护人员的邮件域名,我差点发动npm 软件供应链攻击
https://www.helpnetsecurity.com/2023/05/04/open-source-maintainers-security-demands/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):没钱还事多:开源维护人员面临不断增长的安全需求但仍没有报酬
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论