关于 Home - Open Source Security Foundationh
Core Infrastructure Initiative (CII) 致力于确保开放源代码软件的安全性,其网站coreinfrastructure.org提供有关该计划的详细信息。
1. 关于CII
- CII成立于2015年,旨在通过提高开放源代码软件的安全性来保障全球软件供应链。
- CII成员包括谷歌、微软、Facebook、亚马逊、英特尔、IBM和Linux基金会等主要技术公司和组织。
2. CII的四大支柱
- 最佳实践:《安全核心的十大最佳实践》:CII与安全专家合作,制定了一套最佳实践,供开源软件项目和开发人员遵循,以确保其代码的安全性。
- 安全检查工具:Best Practices Badge和Supply-Chain Levels for Software Artifacts (SLSA):CII提供工具来帮助开源软件项目和开发人员评估其代码的安全性。
- 开源安全评级工具CycloneDX:CII开发了CycloneDX软件物料清单 (SBOM) 格式,以便更有效地共享和使用软件组件的信息。
- 支持开源安全社区:CII通过支持开源安全社区和活动,帮助提高开源软件的安全性。
3. 核心任务
- 提高开源软件的安全性。
- 建立开源软件安全领域的最佳实践。
- 开发工具和资源以帮助开源软件项目和开发人员提高其代码的安全性。
- 支持开源安全社区和活动。
4. 对开源软件安全的影响
- CII的成立对于提高开源软件的安全性产生了重大影响。
- CII的最佳实践和工具已被广泛采用,帮助开源软件项目和开发人员提高了其代码的安全性。
- CII的开源安全评级工具CycloneDX已被许多组织采用,以帮助他们管理软件供应链中的安全风险。