наскоро Linux Foundation представи чрез публикация в блога ангажимент от OpenSSF (Фондация за сигурност с отворен код) да финансира Linux Foundation с 10 милиона долара, това като част от усилията за подобряване на сигурността на софтуера с отворен код.
Споменава се, че Събраните средства са чрез роялти от компании -майки на OpenSSF, включително Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, Google, IBM, Intel, JPMorgan Chase, Microsoft, Morgan Stanley, Oracle, Red Hat, Snyk и VMware.
„Този ангажимент в цялата индустрия отговаря на призива на Белия дом да повиши изходната база за нашето колективно благосъстояние в киберсигурността, както и да„ плати напред “на общностите с отворен код, за да им помогне да създадат защитен софтуер, който всички ние обичаме. каза Джим Землин, главен изпълнителен директор на Linux Foundation. „Радваме се, че ръководството и богатият опит на Брайън Белендорф в изграждането и поддържането на големи общности и технически проекти са приложени към тази работа. С огромния растеж и широко разпространение на софтуера с отворен код, създаването на програми и практики за киберсигурност в такъв мащаб е нашата най -голяма задача. "
Това финансиране е част от сътрудничество между индустриите което обединява множество софтуерни инициативи с отворен код със същата цел за идентифициране и коригиране на уязвимости в киберсигурността в софтуера с отворен код и разработване на подобрени инструменти, обучение, изследвания, най -добри практики и практики за разкриване на уязвимости.
Напомняне, Работата на OpenSSF се фокусира върху области като координирано разкриване на уязвимости, разпространение на кръпки, разработване на инструменти за сигурност, публикуване на най -добри практики за организация за сигурно развитие, идентифициране на свързаните със сигурността заплахи в софтуер с отворен код, работа по одит и укрепване, критични проекти с отворен код, създаване на инструменти за проверка на самоличността на разработчиците.
- Карта за оценка на сигурността- Напълно автоматизиран инструмент, който оценява редица важни евристики („проверки“), свързани със сигурността на софтуера.
- Значка за най -добри практики- Набор от най -добри практики от Инициативата за основна инфраструктура за производство на по -качествен защитен софтуер, който предоставя начин на проектите за OSS да демонстрират чрез значки, че ги следват.
- Политики за сигурност: Allstar предоставя набор и налага политики за сигурност в хранилища или организации.
- Рамковата: Нивата на веригата за доставки на софтуерни артефакти (SLSA) осигуряват рамка за сигурност за повишаване на нивата на цялостност на веригата за доставки на софтуер.
- обучение- Безплатни курсове по основи на разработването на защитен софтуер, които обучават членовете на общността как да разработват защитен софтуер
- Разкриване на уязвимости: Ръководство за координирано разкриване на уязвимости за OSS проекти
- Анализ на пакети: потърсете злонамерен софтуер в пакети за OSS
- Проверки за сигурност- Публично събиране на кръпки за сигурност на OSS
- изследване- Проучвания върху софтуера с отворен код и критичните уязвимости в сигурността, проведени в партньорство с Харвардската лаборатория за иновационни науки (LISH) (например предварително преброяване и проучване на сътрудниците на FOSS)
La OpenSSF продължава да надгражда инициативи като Инициативата за централна инфраструктура и Коалицията за сигурност с отворен код и обединява друга работа, свързана със сигурността, която се извършва от компании, които са се присъединили към проекта.
„Никога не е имало по -вълнуващо време за работа в общността с отворен код и сигурността на веригата за доставки на софтуер никога не е имала нужда от повече наше внимание“, каза Брайън Белендорф, главен изпълнителен директор на Фондация за сигурност с отворен код. „Няма магическа формула за осигуряване на вериги за доставка на софтуер. Изследванията, обучението, най -добрите практики, инструменти и сътрудничество изискват колективната сила на хиляди критични умове в нашата общност. Финансирането на OpenSSF ни дава форум и ресурси за тази работа.
Накрая ако се интересувате да научите повече за това, можете да проверите оригиналната публикация в следната връзка.