亚马逊云科技 与 OSTIF 合作进行开源安全审计

我们很高兴地宣布， 亚马逊云科技 将赞助 开源 技术改进基金 (OSTIF) 的 开源软件安全审计，该基金 是一家致力于保护开源的非营利组织。这笔资金是亚马逊网络服务（亚马逊云科技）支持开源软件供应链安全的更广泛计划的一部分。

去年， 亚马逊云科技 承诺 在三年内与 开源安全基金会 （OpenSSF）一起投资1000万美元，为供应链安全提供资金。作为我们与OpenSSF正在进行的计划的一部分，亚马逊云科技将直接向OSTIF提供50万美元的资金。OSTIF通过作为 OpenSSF 现有合作伙伴的工作，为项目提供安全审计和审查，在开源供应链安全方面发挥了至关重要的作用。他们在审计开源项目方面的丰富经验已经带来了显著的好处。本月，该小组完成了对 Git 的重大 安全审计 ，发现了 35 个问题，包括两个关键发现和一个高严重性发现。7月，该组织帮助 发现并修复 了sigstore中的 一个关键漏洞，sigstore是一种用于签名和验证软件的新开源技术。

亚马逊云科技 提供的许多工具和服务都建立在开源软件之上。通过我们的 OSTIF 赞助，我们可以通过改善 亚马逊云科技 和我们的客户所依赖的基础开源库的健康和安全性，主动降低供应链上游的软件供应链风险。我们的投资有助于支持上游安全，并为客户和更广泛的开源社区提供更安全的开源软件。

支持开源供应链安全类似于支持电网维护。我们都需要电网才能继续工作，并得到良好的维修，因为没有电网，任何东西都无法通电。开源软件也是如此。在现代 IT 世界中，几乎所有重要的事物都建立在开源之上。我们需要开源软件才能得到良好的维护和安全。

我们期待与OSTIF合作，并继续投资开源供应链安全。