网络安全攻击对任何公司都可能是毁灭性的，但改善您的软体供应链可以显着降低被入侵的风险。

随着现代应用程序开发中开源软体（open source software；OSS）的采用和使用迅速增加，进行额外的努力非常重要。软体供应链的所有组件都需要彻底检查。IBM正在OSS生态系统中与其他行业领导者和关键OSS社区合作，以解决随着时间的推移出现的范围广泛的安全问题，这些问题是逐渐出现的，需要时间来建立新的安全最隹实行来应对这些挑战。

IBM与这些OSS社区合作的众多方式之一，是成为开源安全基金会 （OpenSSF）的活跃成员，这是由Linux基金会开发和发起的一项计划。

OpenSSF自行描述为「……一个跨行业组织，汇集了行业最重要的开源安全计划以及支持它们的个人和公司。OpenSSF致力於与上游和现有社区进行协作和合作，以提高所有人的开源安全性。」IBM是该组织的创始成员之一，IBM系统战略与开发总经理Jamie Thomas担任OpenSSF的董事会主席。

客户可以通过利用IBM的多种有价值的产品和服务来改善他们的安全状况。IBM技术服务为客户提供多种选择，包括开源安全漏洞评估和风险缓解帮助。

IBM技术服务开源软体团队拥有许多支持业务数位转型和应用程序现代化的流行社区和商业产品的能力，提供一系列服务帮助客户设计、部署和优化开源技术。

安全不是线性或有限的旅程；相反，它是一个持续的、不断发展的过程。如今，客户需要在解决自身安全问题上发挥积极作用，因为等待威胁出现有时可能为时已晚。

协助解决整体安全问题

我们将安全性整合到所有的客户活动中。在向客户提供OSS服务时，我们确保OSS下载站点有效，并在软体物料清单（SBOM）可用时对其进行验证，这意味着所提供的任何下载链接，都已经过验证有效且安全。此外，我们还可以作为一项单独的服务为客户或与客户一起执行漏洞评估和缓解措施。

通过使用面向开源技术服务的IBM技术生命周期服务，客户可以确信正在受益於不断评估错误和严重漏洞存在的全球社区。至於其他重要功能，包括专注於将 DevSecOps内建为软体开发的关键要素。

（本文作者Hanna Linder为IBM公司全球开源服务技术主管）

**刊头图（source：IBM）