OpenSSF: un projecte enfocat a millorar la seguretat del programari de codi obert

La Fundació Linux ha anunciat la formació d' un nou projecte anomenat OpenSSF (Open Source Security Foundation) el qual té com a objectiu principal l'reunir la feina dels líders de la indústria en el camp de la millora de la seguretat del programari de codi obert.

Amb això OpenSSF continuarà desenvolupant iniciatives com la Infrastructure Initiative i Open Source Security Coalition (Iniciativa d'Infraestructura Central i la Coalició de Seguretat de Codi Obert) i reunirà altres treballs relacionats amb la seguretat que estan duent a terme les empreses que s'han unit a el projecte.

Els membres fundadors de OpenSSF inclouen GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, OWASP Foundation i Red Hat.

Mentre que per la seva banda GitLab, HackerOne, Intel, Uber, VMware, ElevenPaths, Okta, Purdue, SAFECode, StackHawk i Trail of Bits es van unir com a participants.

La OpenSSF és una col·laboració entre indústries que reuneix líders per millorar la seguretat del programari de codi obert mitjançant la creació d'una comunitat més àmplia, iniciatives específiques i millors pràctiques.

La raó de la creació d'aquest projecte neix a partir d'l'estudi de el món modern en el qual el programari de codi obert té una gran demanda en moltes àrees de la indústria, Però a causa dels detalls de el desenvolupament, la seva seguretat està influenciada per cadenes de dependències i participants en el desenvolupament.

OpenSSF és una col·laboració entre indústries que reuneix líders per millorar la seguretat del programari de codi obert (OSS) mitjançant la construcció d'una comunitat més àmplia amb iniciatives específiques i millors pràctiques.

Per tant, per confirmar la seguretat dels projectes de codi obert, és important verificar no solament el codi principal, sinó també les dependències, així com la identificació dels desenvolupadors el codi és acceptat en el projecte i l'autenticació fiable durant la revisió i el compromís.

A més, la seguretat requereix l'ús de sistemes de compilació assegurances i verificació de compilació.

El programari de codi obert s'ha generalitzat en els centres de dades, dispositius de consum i serveis, el que representa el seu valor entre tecnòlegs i empreses per igual. 

A causa del seu procés de desenvolupament, el codi obert que finalment arriba als usuaris finals té una cadena de contribuents i dependències. És important que els responsables de la seguretat del seu usuari o organització puguin comprendre i verificar la seguretat d'aquesta cadena de dependència.

El treball de OpenSSF es concentrarà en àrees com ara la divulgació coordinada d'informació de vulnerabilitat y distribució de pegats, El desenvolupament d'eines per a la seguretat, la publicació de millors pràctiques per a l'organització de desenvolupament segura, identificar amenaces relacionades amb la seguretat per al programari de codi obert, realitzar el treball de l'Auditoria i augmentar la seguretat de les crítiques projectes de codi obert, creant eines per verificar la identitat dels desenvolupadors.

Entre les amenaces causades per la manca d'identificació dels desenvolupadors, s'esmenta la possibilitat que un atacant obtingui drets de mantenidor per fer canvis maliciosos, duplicar comptes per revisar el seu propi codi, s'esmenta la participació de impostors fent-se passar per altres persones o reclamant treball per a certes companyies.

«Creiem que el codi obert és un bé públic i en totes les indústries tenim la responsabilitat d'unir-nos per millorar i donar suport a la seguretat del programari de codi obert de què tots depenem», va dir Jim Zemlin, director executiu de The Linux Foundation.

Per exemple, els problemes d'identificació inclouen un incident amb una dependència de la biblioteca de flux d'esdeveniments després de transferir una escorta a una persona no verificada amb la qual l'antic responsable es va comunicar només per correu electrònic, o nombrosos casos de venda de complements i complements de el navegador a tercers.

Finalment si vols conèixer més a l'respecte, pots consultar els detalls a la publicació original de la Linux Fundation en el següent enllaç.

O també pots visitar el lloc web de l'OpenSSF en el següent enllaç.


Sigues el primer a comentar

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.