網絡安全攻擊對任何公司都可能是毀滅性的，但改善您的軟體供應鏈可以顯著降低被入侵的風險。

隨著現代應用程序開發中開源軟體（open source software；OSS）的採用和使用迅速增加，進行額外的努力非常重要。軟體供應鏈的所有組件都需要徹底檢查。IBM正在OSS生態系統中與其他行業領導者和關鍵OSS社區合作，以解決隨著時間的推移出現的範圍廣泛的安全問題，這些問題是逐漸出現的，需要時間來建立新的安全最佳實行來應對這些挑戰。

IBM與這些OSS社區合作的眾多方式之一，是成為開源安全基金會 （OpenSSF）的活躍成員，這是由Linux基金會開發和發起的一項計劃。

OpenSSF自行描述為「……一個跨行業組織，匯集了行業最重要的開源安全計劃以及支持它們的個人和公司。OpenSSF致力於與上游和現有社區進行協作和合作，以提高所有人的開源安全性。」IBM是該組織的創始成員之一，IBM系統戰略與開發總經理Jamie Thomas擔任OpenSSF的董事會主席。

客戶可以通過利用IBM的多種有價值的產品和服務來改善他們的安全狀況。IBM技術服務為客戶提供多種選擇，包括開源安全漏洞評估和風險緩解幫助。

IBM技術服務開源軟體團隊擁有許多支持業務數位轉型和應用程序現代化的流行社區和商業產品的能力，提供一系列服務幫助客戶設計、部署和優化開源技術。

安全不是線性或有限的旅程；相反，它是一個持續的、不斷發展的過程。如今，客戶需要在解決自身安全問題上發揮積極作用，因為等待威脅出現有時可能為時已晚。

協助解決整體安全問題

我們將安全性整合到所有的客戶活動中。在向客戶提供OSS服務時，我們確保OSS下載站點有效，並在軟體物料清單（SBOM）可用時對其進行驗證，這意味著所提供的任何下載鏈接，都已經過驗證有效且安全。此外，我們還可以作為一項單獨的服務為客戶或與客戶一起執行漏洞評估和緩解措施。

通過使用面向開源技術服務的IBM技術生命週期服務，客戶可以確信正在受益於不斷評估錯誤和嚴重漏洞存在的全球社區。至於其他重要功能，包括專注於將 DevSecOps內建為軟體開發的關鍵要素。

（本文作者Hanna Linder為IBM公司全球開源服務技術主管）

**刊頭圖（source：IBM）