开源安全基金会 (OpenSSF) 宣布推出一个名为 Siren 的威胁情报共享列表,旨在促进新的漏洞信息共享工作、加强全球开源项目的防御能力。OpenSSF Siren 是一项协作工作,旨在聚合和传播特定于开源项目的威胁情报。
当今从 Web 服务器到移动应用程序,多达 90% 的现代软件都采用了开源软件。然而,随着开源软件的广泛应用,威胁者利用漏洞牟利的行为也越来越多。而最近对 XZ-Utils 等项目和 OpenJS 社区的攻击,也进一步提醒了我们主动采取安全措施的重要性。
OpenSSF 认为,虽然开源社区有行之有效的方法(如 oss-security 邮件列表)向社区内的其他人通报漏洞,但我们没有办法与更广泛的下游受众有效地传达有关漏洞利用的信息。并且虽然消费者和企业可能有情报共享结构,但这并不总能延伸到上游开源社区。
因此,OpenSSF 希望 Siren 能够填补开源社区和企业社区之间的空白。“SIREN 的目标是为更广泛的受众补充和加强现有的信息渠道,如项目博客和咨询以及关键邮件列表,如 oss-security。”
OpenSSF Siren 的主要功能包括:
- 开源威胁情报:与社区共享被积极利用的公共漏洞和威胁。
- 实时更新:列表成员通过电子邮件接收有关可能与其项目相关的新威胁的通知,从而能够迅速采取行动来降低风险。
- TLP:CLEAR:为了促进有效的、不受限制的透明沟通,该列表遵循 Traffic Light Protocol (TLP),为情报的共享和处理制定了明确的指导方针。
- 社区驱动:来自不同背景的贡献者合作丰富情报数据库,培育共同责任和集体防御的文化。
更多详情可查看官方公告。
