近日，Linux 基金会旗下的开放安全基金会（OpenSSF）采纳了安全供应链消费框架 (S2C2F) 作为其供应链安全的一项标准。

S2C2F 由微软发起，本质上是一系列关于软件供应链安全的评估标准，微软希望借社区之手将其开发维护。

实际上，软件供应链安全已经成为全球 IT 界的一项重大运动，而美国则是其中的赢家。这并不是说美国就一定做的最好，而是由于美国产业界的前瞻性和技术根基，这一系列准备早已在过去多年铺垫完成，最终在 2021 年由拜登的总统令将其盖棺定论，正式昭告天下——而其成功之处就在于，政府一分钱没花，产业界自己搞定了，并且交付品质也是无人能出其右。

当然，这也什么。不花钱把事情办得又快又好也并不是评价一件事情的唯一标准，所谓后发优势，就是可以抄作业——只要愿意抄并且好好抄就行。

微软 CTO Russinnovich 表示，开源有着海量消费者，微软理解开发者构建软件时使用开源软件时的安全考量。

微软理不理解开源开发者，这个我们也不好下结论。但是微软理解胁供应链安全以令诸侯，那必然是路人皆知的。想要不被微软牵着鼻子走，开源社区和公司自己就必须把软件供应链安全重视起来。

毕竟，微软这么可爱，怎么可能背叛开源呢？