Фондацията Linux обяви създаването на нов проект, наречен „OpenSSF“ (Фондация за сигурност с отворен код) която Основната му цел е да се събира работата на лидери в индустрията в областта на подобряването на сигурността на софтуера с отворен код.
С него OpenSSF ще продължи да развива инициативи като Инициативата за инфраструктура и Коалицията за сигурност с отворен код (Инициатива за централна инфраструктура и Коалиция за сигурност с отворен код) и ще обедини друга работа, свързана със сигурността, извършвана от компании, присъединили се към проекта.
Основателите на OpenSSF Те включват GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, OWASP Foundation и Red Hat.
Докато от своя страна GitLab, HackerOne, Intel, Uber, VMware, ElevenPaths, Okta, Purdue, SAFECode, StackHawk и Trail of Bits се присъединиха като участници.
La OpenSSF е сътрудничество между индустриите обединяване на лидери за подобряване на сигурността на софтуера с отворен код чрез създаване на по-широка общност, конкретни инициативи и най-добри практики.
Причината за създава се създаването на този проект от изследването на съвременния свят, в който Софтуерът с отворен код е търсен в много области на индустрията, но поради подробности за развитието, сигурността му се влияе от вериги от зависимости и участници в развитието.
OpenSSF е междуотраслово сътрудничество, което обединява лидери за подобряване на сигурността на софтуера с отворен код (OSS) чрез изграждане на по-широка общност с целеви инициативи и най-добри практики.
Следователно, за да потвърдите сигурността на проектите с отворен код, важно е да проверите не само основния код, но и зависимостите, както и идентификацията на разработчиците, чийто код е приет в проекта, и надеждното удостоверяване по време на прегледа и ангажимента.
Освен това сигурността изисква използването на защитени системи за изграждане и проверка на компилацията.
Софтуерът с отворен код е широко разпространен в центровете за данни, потребителските устройства и услуги, което представлява неговата стойност както сред технолозите, така и сред бизнеса.
Поради своя процес на разработка, отвореният код, който в крайна сметка достига до крайните потребители, има верига от сътрудници и зависимости. Важно е тези, които отговарят за сигурността на вашия потребител или организация, да разберат и проверят сигурността на тази верига от зависимости.
Работата на OpenSSF ще се фокусира върху областите Както и координирано разкриване на информация за уязвимост y разпределение на кръпка, разработване на инструменти за сигурност, публикуване на най-добри практики за организация за сигурно развитие, идентифициране на свързани със сигурността заплахи за софтуер с отворен код, извършване на одиторска работа и повишаване на сигурността на критични проекти с отворен код, създаване на инструменти за проверка на самоличността на разработчиците.
Сред заплахите, причинени от липсата на идентификация на разработчиците, възможността нападателят да получи права на поддържащи да извършва злонамерени промени, дублиране на акаунти за преглед на собствения си код, споменавайки участието на измамници, представящи се за други хора или претендирайки за работа за определени компании.
„Ние вярваме, че отвореният код е обществено благо и във всички отрасли ние носим отговорност да се обединим, за да подобрим и подкрепим сигурността на софтуера с отворен код, от който всички зависим“, каза Джим Землин, главен изпълнителен директор на фондацията Linux.
Например проблемите с идентификацията включват инцидент с зависимост от библиотеката на потока от събития след прехвърляне на ескорт на непроверено лице, с което бившият мениджър се е свързал само по имейл, или множество случаи на продажби на приставки и добавки за браузър на трети страни.
Накрая ако искате да научите повече за това, можете да проверите подробностите в оригиналната публикация на Linux Foundation В следващия линк.
Или също можете да посетите уебсайта на OpenSSF В следващия линк.
Бъдете първите, които коментират