Linux基金會近日牽頭成立了名為開源安全基金會（Open Source Security Foundation，簡稱OpenSSF）。這是一個跨行業的安全合作項目，主要是為了避免2014年Open SSL協議中臭名昭著的Heartbleed類似的漏洞而成立的。

OpenSSF的創始成員包括一些科技界的大公司，包括微軟、GitHub, Google, IBM, JPMC, NCC集團, OWASP基金會和Red Hat。OpenSSF的目標是簡化行業的開源安全工作，將其最受歡迎的項目和支持這些項目的公司聚集在一起。其創始人表示，開源軟件在當今的技術中已經變得無孔不入，從數據中心到客戶端設備都有使用。

目前大多數開源軟件項目都非常複雜，貢獻者和依賴關係鏈很長，很難保證安全。因此，企業迫切需要了解和驗證這些依賴鏈的安全性。這個項目的目的是通過創建更廣泛的社區、有針對性的舉措和最佳實踐來提高開源軟件的安全性。最初的技術措施將集中在以下方面。

漏洞披露

安全工具

安全最佳做法

識別開放源碼項目的安全威脅

確保關鍵項目的安全

開發人員身份驗證

Azure 首席技術官Mark Russinovich 寫道：“微軟多年來一直參與多個開源安全計劃，我們期待著將這些計劃整合到OpenSSF的保護傘下”。你可以在GitHub上參與這個項目，網址是https://github.com/ossf。