Linux Foundation oznámila vznik nový projekt s názvem „OpenSSF“ (Open Source Security Foundation), která Jeho hlavním cílem je shromáždit práce lídři v oboru v oblasti zvyšování zabezpečení softwaru s otevřeným zdrojovým kódem.
S ním OpenSSF bude i nadále rozvíjet iniciativy, jako je Infrastrukturní iniciativa a Open Source Security Coalition (Central Infrastructure Initiative and the Open Source Security Coalition) a spojí další práce související s bezpečností prováděné společnostmi, které se do projektu zapojily.
Zakládající členové OpenSSF zahrnout GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, OWASP Foundation a Red Hat.
Zatímco pro jeho část GitLab, HackerOne, Intel, Uber, VMware, ElevenPaths, Okta, Purdue, SAFECode, StackHawk a Trail of Bits se připojili jako účastníci.
La OpenSSF je spolupráce mezi průmyslovými odvětvími sdružování vedoucích s cílem zlepšit zabezpečení softwaru s otevřeným zdrojovým kódem vytvořením širší komunity, konkrétní iniciativy a osvědčené postupy.
Důvod pro vznik tohoto projektu se rodí ze studia moderního světa, ve kterém Software s otevřeným zdrojovým kódem je v mnoha oblastech průmyslu velmi žádaný, ale kvůli detailům vývoje je jeho bezpečnost ovlivněna řetězci závislostí a účastníky vývoje.
OpenSSF je mezioborová spolupráce, která spojuje vedoucí představitele ke zlepšení zabezpečení softwaru s otevřeným zdrojovým kódem (OSS) budováním širší komunity s cílenými iniciativami a osvědčenými postupy.
Proto, k potvrzení bezpečnosti projektů s otevřeným zdrojovým kódem, je důležité zkontrolovat nejen hlavní kód, ale také závislosti, stejně jako identifikace vývojářů, jejichž kód je v projektu přijat, a spolehlivé ověření během kontroly a závazku.
Zabezpečení navíc vyžaduje použití zabezpečených systémů sestavení a ověření sestavení.
Software s otevřeným zdrojovým kódem se rozšířil v datových centrech, spotřebitelských zařízeních a službách, což představuje jeho hodnotu mezi technology i podniky.
Díky svému vývojovému procesu má otevřený zdroj, který se nakonec dostane ke koncovým uživatelům, řetězec přispěvatelů a závislostí. Je důležité, aby osoby odpovědné za zabezpečení vašeho uživatele nebo organizace pochopily a ověřily zabezpečení tohoto řetězce závislostí.
Práce OpenSSF se zaměří na oblasti Jako koordinované zveřejňování informací o zranitelnosti y distribuce patchů, vývoj nástrojů pro zabezpečení, publikování osvědčených postupů pro organizaci zabezpečeného rozvoje, identifikovat bezpečnostní hrozby pro software s otevřeným zdrojovým kódem, provádět audit a zvyšovat bezpečnost kritických projektů s otevřeným zdrojovým kódem, vytvářet nástroje pro ověřování identity vývojářů.
Mezi hrozbami způsobenými nedostatečnou identifikací vývojářů je možnost, že útočník získá práva správce provádět škodlivé změny, duplikování účtů za účelem kontroly jejich vlastního kódu, zmínka o účasti podvodníků vydávajících se za jiné lidi nebo přihlašování k práci pro určité společnosti.
„Věříme, že otevřený zdroj je veřejným statkem a ve všech průmyslových odvětvích máme odpovědnost spojovat se a zlepšovat a podporovat zabezpečení softwaru s otevřeným zdrojovým kódem, na kterém jsme všichni závislí,“ řekl Jim Zemlin, generální ředitel The Linux Foundation.
Například problémy s identifikací zahrnují incident se závislostí na knihovně streamu událostí po převodu eskorty na neověřenou osobu, s níž bývalý manažer kontaktoval pouze prostřednictvím e-mailu, nebo četné případy prodeje zásuvných modulů a doplňky prohlížeče třetích stran.
Konečně pokud o tom chcete vědět víc, můžete zkontrolovat podrobnosti v původní publikaci Linux Foundation Na následujícím odkazu.
Nebo také můžete navštívit web OpenSSF Na následujícím odkazu.