Linux Foundation har annonceret dannelsen af et nyt projekt kaldet "OpenSSF" (Open Source Security Foundation) som Dets hovedmål er at samles arbejdet i brancheførende inden for forbedring af open source-softwaresikkerhed.
Med det OpenSSF vil fortsætte med at udvikle initiativer såsom Infrastructure Initiative og Open Source Security Coalition (Central Infrastructure Initiative og Open Source Security Coalition) og samler andet sikkerhedsrelateret arbejde, der udføres af virksomheder, der har tilsluttet sig projektet.
De grundlæggende medlemmer af OpenSSF De omfatter GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, OWASP Foundation og Red Hat.
Mens for hans del GitLab, HackerOne, Intel, Uber, VMware, ElevenPaths, Okta, Purdue, SAFECode, StackHawk og Trail of Bits deltog som deltagere.
La OpenSSF er et samarbejde mellem brancher samle ledere for at forbedre sikkerheden ved open source-software ved at skabe et bredere samfund, specifikke initiativer og bedste praksis.
Grunden til oprettelsen af dette projekt er født fra studiet af den moderne verden, hvor Open source-software er meget efterspurgt i mange områder af branchen, men på grund af udviklingsdetaljer påvirkes dets sikkerhed af afhængighedskæder og udviklingsdeltagere.
OpenSSF er et tværsektorielt samarbejde, der samler ledere til at forbedre sikkerheden i open source-software (OSS) ved at opbygge et bredere samfund med målrettede initiativer og bedste praksis.
Derfor, for at bekræfte sikkerheden ved open source-projekter, det er vigtigt ikke kun at kontrollere hovedkoden, men også afhængighederne, samt identifikation af de udviklere, hvis kode accepteres i projektet, og den pålidelige godkendelse under gennemgangen og forpligtelsen.
Derudover kræver sikkerhed brug af sikre build-systemer og build-verifikation.
Open source-software er blevet udbredt i datacentre, forbrugsenheder og tjenester, hvilket repræsenterer dens værdi blandt både teknologer og virksomheder.
På grund af sin udviklingsproces har open source, der til sidst når slutbrugerne, en kæde af bidragydere og afhængigheder. Det er vigtigt, at de, der er ansvarlige for sikkerheden for din bruger eller organisation, kan forstå og verificere sikkerheden i denne afhængighedskæde.
OpenSSFs arbejde vil fokusere på områder såsom koordineret videregivelse af sårbarhedsoplysninger y patch distribution, udvikling af værktøjer til sikkerhed, offentliggørelse af bedste praksis for sikker udviklingsorganisation, identificere sikkerhedsrelaterede trusler mod open source-software udføre revisionsarbejde og øge sikkerheden for kritiske open source-projekter, skabe værktøjer til at verificere udviklernes identitet.
Blandt truslerne forårsaget af manglende identifikation af udviklerne er muligheden for, at en angriber får vedligeholdelsesrettigheder til at foretage ondsindede ændringer, duplikere konti for at gennemgå deres egen kode, nævne deltagere af bedragere, der efterligner andre mennesker eller hævder arbejde for visse virksomheder.
"Vi mener, at open source er et offentligt gode, og i alle brancher har vi et ansvar for at komme sammen for at forbedre og støtte sikkerheden i open source-software, som vi alle er afhængige af," sagde Jim Zemlin, administrerende direktør for Linux Foundation.
For eksempel inkluderer identifikationsproblemer en hændelse med afhængighed af hændelsesstrømbiblioteket efter overførsel af en eskorte til en ubekræftet person, som den tidligere manager kun kontaktede via e-mail, eller adskillige tilfælde af plug-in-salg og tredjeparts browser-tilføjelser.
Endelig hvis du vil vide mere om det, du kan kontrollere detaljerne i den oprindelige publikation af Linux Foundation I det følgende link.
Eller også du kan besøge OpenSSF-webstedet I det følgende link.