openssf

Linux 基金会宣布与多家硬件和软件厂商合作，共同成立了开源安全基金会(OpenSSF)，这是一项跨行业的合作，通过建立具有针对性的计划和**实践的更广泛的社区，并将领导者聚集在一起，以提升开源软件安全性。 OpenSSF 的成员来自核心基础设施联盟(Core Infrastructure Initiative)、GitHub 开源安全联盟和和其他创始董事会成员，例如 GitHub、Google、IBM、摩根大通、微软、NCC 集团、OWASP 基金会 和 Red Hat。其他创始成员还包括 ElevenPaths GitLab HackerOne Intel Okta Purdue SAFECode StackHawk Trail of Bits Uber 和 VMware

在2019年7月1日至2020年6月30日期间，微软已通过15个漏洞赏金计划向已报告漏洞的安全研究人员提供了1370万美元的奖励。 根据Microsoft安全响应中心博客上发布的年度Microsoft Bug赏金计划回顾展，上一年440万美元的Microsoft Bug赏金奖励，今年是前一年获得的金额的三倍以上。 该公司表示：“通过通过协调漏洞披露(CVD)发现并向Microsoft报告漏洞，安全研究人员继续帮助我们确保了数百万客户的安全

Spotify近期在官网宣布成立Spotify 开源基金FOSS Fund (Free and Open Source Software Fund)，用来资助独立的开源项目。初始基金池设立10万欧元，由Spotify的工程师提名，Spotify 开源基金委员会评审并最终做决定。 Spotify在官网博客上表示，早期Spotify就开始使用开源技术

谷歌开源 Scorecards，为开源项目安全性“打分” 开源软件的广泛应用催生了日渐增多的开源软件供应链攻击，与普通供应链攻击不同，开源软件拥有更长的“信任链”和更大的影响力，因此导致的结果之一就是破坏性更大。然而大部分开发者或组织在使用新的开源项目依赖时，没有评估过对生产环境安全性的影响，当然也可能是无法评估，因为没有任何能反映该项目安全性的数据和信息。 诸如谷歌这类大型公司会为此制定相关规范，他们要求工程师在引入新的开源依赖时必须遵循相应的系统规定和流程，但这一过程往往会很繁琐、需要手动操作且容易导致出错