أعلنت مؤسسة Linux عن تشكيل مشروع جديد يسمى "OpenSSF" (مؤسسة الأمن مفتوحة المصدر) التي هدفها الرئيسي هو التجمع عمل رواد الصناعة في مجال تحسين أمان البرامج مفتوحة المصدر.
معها OpenSSF ستواصل تطوير مبادرات مثل مبادرة البنية التحتية وائتلاف أمن المصادر المفتوحة (مبادرة البنية التحتية المركزية وائتلاف الأمن المفتوح المصدر) وسيجمعان الأعمال الأخرى المتعلقة بالأمن التي تنفذها الشركات التي انضمت إلى المشروع.
الأعضاء المؤسسون لـ OpenSSF وتشمل GitHub و Google و IBM و JPMorgan Chase و Microsoft و NCC Group و OWASP Foundation و Red Hat.
بينما من جانبه GitLab و HackerOne و Intel و Uber و VMware و ElevenPaths و Okta و Purdue و SAFECode و StackHawk و Trail of Bits انضموا كمشاركين.
La OpenSSF هو تعاون بين الصناعات الجمع بين القادة لتحسين أمن البرمجيات مفتوحة المصدر من خلال إنشاء مجتمع أوسع ، مبادرات محددة وأفضل الممارسات.
السبب ل ولد إنشاء هذا المشروع من دراسة العالم الحديث الذي فيه هناك طلب كبير على البرامج مفتوحة المصدر في العديد من مجالات الصناعةولكن بسبب تفاصيل التطوير ، يتأثر أمنها بسلاسل التبعيات والمشاركين في التنمية.
OpenSSF هو تعاون عبر الصناعة يجمع القادة معًا لتحسين أمان برمجيات المصدر المفتوح (OSS) من خلال بناء مجتمع أوسع بمبادرات مستهدفة وأفضل الممارسات.
لذلك، لتأكيد أمان المشاريع مفتوحة المصدر, من المهم التحقق ليس فقط من الكود الرئيسي ، ولكن أيضًا التحقق من التبعيات ، وكذلك تحديد المطورين الذين تم قبول كودهم في المشروع والمصادقة الموثوقة أثناء المراجعة والالتزام.
بالإضافة إلى ذلك ، يتطلب الأمن استخدام أنظمة بناء آمنة وبناء التحقق.
أصبحت البرمجيات مفتوحة المصدر منتشرة على نطاق واسع في مراكز البيانات والأجهزة الاستهلاكية والخدمات ، مما يمثل قيمتها بين التقنيين والشركات على حد سواء.
نظرًا لعملية التطوير ، فإن المصدر المفتوح الذي يصل في النهاية إلى المستخدمين النهائيين لديه سلسلة من المساهمين والتبعيات. من المهم أن يتمكن المسؤولون عن أمن مستخدمك أو مؤسستك من فهم والتحقق من أمان سلسلة التبعية هذه.
سيركز عمل OpenSSF على المجالات مثل ال الكشف المنسق عن معلومات الضعف y توزيع التصحيح، تطوير أدوات للأمان ، نشر أفضل الممارسات لتنظيم التنمية الآمنة ، تحديد التهديدات المتعلقة بالأمان لبرامج مفتوحة المصدر ، أداء أعمال التدقيق وزيادة أمان المشاريع الهامة مفتوحة المصدر ، وإنشاء أدوات للتحقق من هوية المطورين.
من بين التهديدات الناجمة عن عدم تحديد هوية المطورين ، إمكانية حصول المهاجم على حقوق المشرف لإجراء تغييرات ضارة ، أو تكرار الحسابات لمراجعة التعليمات البرمجية الخاصة بهم ، أو الإشارة إلى مشاركة المحتالين الذين ينتحلون صفة أشخاص آخرين أو المطالبة بالعمل لدى شركات معينة.
قال جيم زيملين ، الرئيس التنفيذي لمؤسسة لينكس: "نعتقد أن المصدر المفتوح هو منفعة عامة وفي جميع الصناعات ، نتحمل مسؤولية العمل معًا لتحسين ودعم أمن البرمجيات مفتوحة المصدر التي نعتمد عليها جميعًا".
على سبيل المثال ، تتضمن مشكلات تحديد الهوية حادثة تتعلق بالاعتماد على مكتبة تدفق الأحداث بعد نقل مرافق إلى شخص لم يتم التحقق منه اتصل به المدير السابق فقط عبر البريد الإلكتروني ، أو حالات عديدة من مبيعات المكونات الإضافية والوظائف الإضافية لمتصفح الطرف الثالث.
أخيرا إذا كنت تريد معرفة المزيد عنها ، يمكنك التحقق من التفاصيل في المنشور الأصلي لمؤسسة Linux في الرابط التالي.
او ايضا يمكنك زيارة موقع OpenSSF في الرابط التالي.