美国白宫将与开源组织和科技巨头共同推动开源软件保护计划。5月12日，Linux基金会和开源安全基金会（OpenSSF）在开源软件安全峰会上提出一项为期两年的近1.5亿美元的投资计划^[1]，以加强美国的开源安全。37家科技公司、美国国家安全委员会、网络安全和基础设施安全局、NIST、DOE以及管理和预算办公室等联邦机构的高管参加了会议。目前，Linux基金会和OpenSSF已为1.5亿美元确定了10个投资方向。

（1）安全教育：向所有人提供安全基线软件开发教育和认证。两年投资金额分别为450万美元和345万美元。

（2）风险评估：为前10000个或更多的对象存储服务（OSS）组件建立公开、中立、基于客观指标的风险评估体系。两年投资金额分别为1300万美元和400万美元。

（3）数字签名：加速在软件版本中采用数字签名。两年投资金额分别为450万美元和345万美元。

（4）内存安全：通过替换非内存安全语言来消除漏洞。两年投资金额分别为550万美元和200万美元。

（5）事件响应：建立OpenSSF开源安全事件响应团队，安全专家可以在响应漏洞的关键时刻介入协助开源项目。两年投资金额分别为275万美元和305万美元。

（6）更好的扫描：通过高级安全工具和专家指导，加速维护人员和专家发现新漏洞。两年投资金额分别为1500万美元和1100万美元。

（7）代码审核：每年对多达200个关键的OSS组件进行一次第三方代码审查以及任何必要的补救工作。两年投资金额分别为1100万美元和4200万美元。

（8）数据共享：协调全行业的数据共享，以改进最关键OSS组件的研究。两年投资金额分别为185万美元和205万美元。

（9）软件物料清单（SBOM）：持续改进SBOM工具和对使用该工具的培训。第一年投资320万美元，第二年待定。