Nedávno Linux Foundation odhalena prostřednictvím příspěvku na blogu závazek ze strany OpenSSF (Open Source Security Foundation) na financování Linux Foundation 10 miliony dolarů„Toto je součást snahy o zlepšení zabezpečení softwaru s otevřeným zdrojovým kódem.
Je uvedeno, že získané prostředky jsou prostřednictvím licenčních poplatků od mateřských společností OpenSSF, včetně Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, Google, IBM, Intel, JPMorgan Chase, Microsoft, Morgan Stanley, Oracle, Red Hat, Snyk a VMware.
"Tento závazek celého odvětví reaguje na výzvu Bílého domu zvýšit základ pro naši kolektivní prosperitu v oblasti kybernetické bezpečnosti a také" zaplatit dopředu "komunitám s otevřeným zdrojovým kódem, které jim pomohou vytvořit bezpečný software, který všichni milujeme. Máme z toho prospěch," řekl Jim Zemlin, generální ředitel Linux Foundation. "Jsme rádi, že máme vedení Briana Behlendorfa a rozsáhlé zkušenosti s budováním a udržováním velkých komunit a technických projektů aplikovaných na tuto práci." S obrovským růstem a všudypřítomností softwaru s otevřeným zdrojovým kódem je vytváření programů a postupů v oblasti kybernetické bezpečnosti naším největším úkolem. “
Toto financování je součástí spolupráce mezi průmyslovými odvětvími který spojuje více open source softwarových iniciativ za stejným účelem identifikovat a opravit chyby zabezpečení kybernetické bezpečnosti v softwaru s otevřeným zdrojovým kódem a vyvíjet vylepšené nástroje, školení, výzkum, osvědčené postupy a postupy pro odhalení zranitelnosti.
Jako připomenutí, Práce OpenSSF se zaměřuje na oblasti, jako je koordinované odhalení zranitelnosti, distribuce oprav, vývoj bezpečnostních nástrojů, publikování osvědčených postupů pro organizaci bezpečného vývoje, identifikaci hrozeb souvisejících se zabezpečením v softwaru s otevřeným zdrojovým kódem, audit a posílení práce, kritické projekty open source, vytváření nástrojů pro ověřování identity vývojářů.
- Scorecard zabezpečení- Plně automatizovaný nástroj, který vyhodnocuje řadu důležitých heuristik („kontrol“) spojených se zabezpečením softwaru.
- Odznak osvědčených postupů- Sada osvědčených postupů z iniciativy Core Infrastructure Initiative k výrobě bezpečnějšího softwaru vyšší kvality, který projektům OSS poskytuje způsob, jak prostřednictvím odznaků prokázat, že je dodržují.
- Politiky zabezpečení: Allstar poskytuje sadu a prosazuje zásady zabezpečení v úložištích nebo organizacích.
- Rámec: Úrovně dodavatelského řetězce softwarových artefaktů (SLSA) poskytují bezpečnostní rámec pro zvýšení úrovně integrity dodavatelského řetězce softwaru.
- Trénink- Bezplatné kurzy o základech bezpečného vývoje softwaru, které vzdělávají členy komunity o vývoji bezpečného softwaru
- Zveřejnění zranitelnosti: Průvodce koordinovaným odhalením zranitelnosti pro projekty OSS
- Analýza paketů: vyhledejte škodlivý software v balíčcích OSS
- Bezpečnostní kontroly- Veřejná sbírka bezpečnostních záplat OSS
- Výzkum- Studie o softwaru s otevřeným zdrojovým kódem a kritických zranitelnostech zabezpečení prováděné ve spolupráci s Harvardskou laboratoří pro inovační vědy (LISH) (například předběžné sčítání lidu a průzkum přispěvatele FOSS)
La OpenSSF nadále staví na iniciativách, jako je iniciativa centrální infrastruktury a bezpečnostní koalice otevřeného zdroje a sdružuje další práce související s bezpečností, které provádějí společnosti, které se do projektu zapojily.
„Nikdy nebylo tak vzrušující pracovat pro open source komunitu a zabezpečení dodavatelského řetězce softwaru nikdy nepotřebovalo více naší pozornosti,“ řekl Brian Behlendorf, generální ředitel Open Source Security Foundation. "Neexistuje žádný kouzelný vzorec pro zabezpečení dodavatelských řetězců softwaru." Výzkum, školení, osvědčené postupy, nástroje a spolupráce vyžadují kolektivní sílu tisíců kritických myslí v celé naší komunitě. Financování OpenSSF nám dává fórum a zdroje pro tuto práci. “
Konečně pokud se o tom chcete dozvědět více, původní publikaci můžete zkontrolovat v následující odkaz.