2022年5月12日，在美国开源软件安全峰会上，Linux基金会和开源安全基金会（OpenSSF）提出了一项为期两年的近1.5亿美元的投资计划（表1），以加强美国的开源安全。37家科技公司、美国国家安全委员会、网络安全和基础设施安全局、国家标准与技术研究院、美国能源部以及管理和预算办公室等联邦机构的高管共同参加了会议，美国白宫将与开源组织和科技巨头共同推动开源软件保护。会上Linux基金会和OpenSSF发布了《开源软件安全动员计划白皮书》，以下是其致力于实现的十个目标：

（1）安全教育：向所有人提供安全基线软件开发教育和认证。

（2）风险评估：为至少10000个对象存储服务（OSS）组件建立一个公开的、中立的、基于客观指标的风险评估体系。

（3）数字签名：加速在软件发布时数字签名的采用。

（4）内存安全：通过替换非内存安全语言来消除漏洞。

（5）事件响应：建立OpenSSF开源安全事件响应团队，安全专家可以在响应漏洞的关键时刻介入协助开源项目。

（6）更好的扫描：通过高级安全工具和专家指导，促进维护人员和专家对新漏洞的发现。

（7）代码审计：每年对多达200个关键的OSS组件开展第三方代码审查和必要的修复。

（8）数据共享：协调全行业的数据共享，以改进最关键OSS组件的研究。

（9）软件物料清单（SBOM）：持续改进SBOM工具，对其使用办法展开培训以促进应用。

（10）供应链优化：通过使用更好的供应链安全工具和最佳实践来增强供应链系统。

表1 开源软件保护计划投资计划（单位：万美元）

信息来源：

https://www.govinfosecurity.com/150-million-plan-to-secure-open-source-software-a-19072

https://www.zdnet.com/article/white-house-joins-openssf-and-the-linux-foundation-in-securing-open-source-software/