通往開源安全的「空中走廊」:OpenSSF 社群日北美 2026 活動回顧 — Open Source Security Foundation
摘要
開源社群近日齊聚明尼阿波利斯,參加 Open Source Summit North America(北美開源峰會)與 OpenSSF Community Day North America 2026(OpenSSF 北美社群日 2026)。開源安全基金會(Open Source Security Foundation,OpenSSF) 以協作「空中走廊」的形式,成功匯聚各工作小組、資安研究人員與企業維護者,共同整合工具鏈、因應人工智慧安全轉型課題,並強化全球軟體供應鏈的韌性。
明尼阿波利斯空中走廊連結示意圖。來源:Minneapolis 2040 / Skyways
如果你曾漫步於明尼阿波利斯市中心,應該不陌生那套著名的「Skyway」(空中走廊)系統——一座高架的立體步道網絡,將各棟企業大樓、零售聚落與公共空間串接成一個完整生態系。它不讓人暴露在嚴冬寒風或繁忙的地面車流中,而是提供一條流暢、有遮蔽的通道,將彼此分立的社群連結在一起。
2026 年 5 月 21 日,OpenSSF 社群於明尼阿波利斯舉辦 OpenSSF 北美社群日。整個活動日中,OpenSSF 扮演社群的「空中走廊」,橋接各項資安議題、工作小組與工具,將它們整合成一條更強健、更能抵禦「風雪侵襲」的開源軟體供應鏈。這一切的達成,有賴金牌贊助商本田(Honda)的鼎力支持,使全球社群得以相聚、協作,並分享這些關鍵創新成果。從 AI 協作編排到開發者實用藍圖,以下是社群如何藉由這條高架通道強化數位基礎建設的完整紀錄。
我們如何連結 AI 與資安這兩大樞紐?
正如「天橋」(Skyway)連結科技樞紐與社區中心,當天上午的主題演講聚焦於如何將快速的技術變遷與支撐這一切的人際網絡串接起來。Stacey Potter 宣布成立首屆 OpenSSF 大使計畫,以推動社群倡議。OpenSSF 執行長 Steven Fernandez 則分享了基金會如何引領 AI 安全轉型,確保軟體走向自主工作流程的同時,安全防護機制能夠同步跟上。
與此同時,技術要真正發揮作用,前提是使用者必須受到保護與支持。Python 軟體基金會(Python Software Foundation)的 Mike Fiedler 帶領與會者深入剖析一場網路釣魚攻擊的完整解析,令人屏息;來自 BEAR(歸屬感、賦權、盟友精神與代表性)工作小組的 Marcela Melara 則回顧了 BEAR 計畫一年來在導師制與社群建設上的成果,說明生態系統的健全有賴於對開發者的實質支持。Google 的 Hayden Blauzvern 為上午場次收尾,他挑戰與會者將軟體透明度視為核心架構原則,從設計之初就讓互聯系統具備內建的可問責性。
我們如何整合工具,填補可視性缺口?
當安全工具各自為政,整合它們的過程就像在一條條互不相連的街道上摸索前行。午間場次展示了 OpenSSF 如何扮演一條順暢的隧道,將政策、合規與程式碼可視性貫通銜接。針對基礎層面,Will Sergeant、Kiran Chana 與 Kavoi Mutisya 展示了如何透過自動化與調查揭示開源儲存庫內部的實際狀況——相較於維護者的主觀認知,兩者往往存在落差——有效填補了可視性缺口。
在供應鏈更上游的環節,ReversingLabs 的 Kadi McKean 將依賴套件的選用比喻為「博物館策展」,為智慧且安全的軟體採購提供了一份清晰的行動指南。技術議程隨後深入探討架構層面的合規框架:Adolfo García Veytia 介紹了 AMPEL,用於生態系政策的落地執行;Red Hat 的 Hannah Braswell 與 Jennifer Power 則透過 Gemara 拆解了治理的複雜性,以統一的治理架構縮短了合規分析師與開發者之間的距離。
當我們透過實作工具真正收緊螺絲,會發生什麼事?
午餐過後,「Skyway」場地進入了動手做的工程實作環節,現場也帶著幾分在地競技的氛圍。Red Hat 的 Adam Kaplan 處理 Maven lockfile 問題,確保建置過程可重現且安全;Kenneth Yang 與 Adrian Smith 則示範如何在 Sigstore/Cosign 中搭配 BYOPKI,以短期憑證實現無需保存私鑰的簽署(keyless signing)。OpenSSF 的 Christopher「CRob」Robinson 為全天議程注入了一股協作能量——他以充滿活力的「GAME SHOW!GAME SHOW!」打破了深度技術議程的節奏,在讓社群保持高度投入的同時,也帶大家認識了 OpenSSF 的重要專案與工具。
這股能量直接延續到以身分識別與資料控管為主題的技術演講。Patrick Zielinski 與 Yongjae Chung 梳理了以 Gittuf 管理 Git 提交簽署的複雜地形,展示如何從根源確保開發者身分的安全性。緊接其後,Eman Abu Ishgair(普渡大學)與 Marcela Melara 介紹了 Petra——這是一種透過 SBOM 實現機密性供應鏈透明度的巧妙方案,組織無需揭露過多專有資料,即可達到透明化的目標。
我們如何將網絡延伸至汽車產業與後量子密碼學的前沿?
優秀的「天橋」系統從不停滯;它持續延伸,將一個又一個城市街區納入「天橋」網絡。當天最後一段議程證明了開源安全正在擴展到全新的工業領域與未來前沿。本田技研工業(Honda Motor Co.)的清海雄太(Yuta Kiyoumi)與仁樹隆(Takashi Ninjouji)帶來了極具份量的真實工業現場視角,示範如何將 SLSA(Supply-chain Levels for Software Artifacts,軟體製品供應鏈等級)指引直接套用到汽車車載資訊娛樂系統(IVI,In-Vehicle Infotainment)的開發流程,讓消費者座車更加安全。
展望公共網路平台與未來威脅,Dan Appelquist 調查了網路開發者的現行安全習慣,找出前端生態系還需要更好對齊之處。紅帽(Red Hat)的 Kevin Conner 接著帶領聽眾走向一條前瞻性的路徑,探討三種不同的 Sigstore 量子防護方案,以因應未來的密碼學威脅。當天以自動化修復為主軸的高科技議程作結:Kusari 的 Michael Lieberman 介紹 Darnit 作為 AI 安全協作平台,喬治亞理工學院(Georgia Tech)的 Andrew Chin 則發表了 OSS-CRS 主題演講——OSS-CRS 是 OpenSSF Sandbox 計畫之一,展示了專為 LLM 時代打造的下一代漏洞偵測與自我修復儲存庫。
OpenSSF 社群網絡的前路
在 2026 年 OpenSSF 社群日北美場,與會者一致強調:保護開源生態系需要系統性的協作,而非各自為政的孤立努力。一如「天橋」,OpenSSF 將企業維護者、開發者、架構師、開源領袖與資安研究者串聯起來,共同抵禦安全威脅並簡化合規工具的使用。
無論是把維護者與學術研究者連結起來,還是讓自動化政策工具與人工導師計畫相互銜接,OpenSSF 都是使協作成為可能的那條基礎建設。透過橋接這些多元的安全工作小組與工具,社群守護的是全球軟體供應鏈的整體安全,而不只是修補零散的個別漏洞。
隨選回顧
感謝所有踏入這個升級網絡、協助鎖緊我們「空中走廊」(Skyway)這套開源共用基礎設施螺絲的夥伴。旅程還在繼續,下一站是 OpenSSF Community Day Europe,歡迎投遞議程提案。
關於作者
Angelah Liu 是 Linux 基金會的副傳播暨行銷經理,負責推動多個開源專案的行銷工作,涵蓋 OpenSSF、機密運算聯盟(Confidential Computing Consortium)、Overture Maps 以及 AOUSD。她天生具有創造力,擅長搭起技術社群與更廣大世界之間的橋梁。作為「開源向善」(Open Source for Good)的忠實倡議者,她透過數位說故事的方式,確保開源領域的突破能在科技生態系之外產生持久的正面影響。