Vor kurzem die Linux Foundation enthüllt über einen Blogbeitrag Engagement des OpenSSF (Open Source Security Foundation) die Linux Foundation mit 10 Millionen US-Dollar zu finanzieren, dies als Teil der Bemühungen, die Sicherheit von Open-Source-Software zu verbessern.
Es wird erwähnt, dass Die gesammelten Mittel stammen aus Lizenzgebühren von OpenSSF-Muttergesellschaften, einschließlich Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, Google, IBM, Intel, JPMorgan Chase, Microsoft, Morgan Stanley, Oracle, Red Hat, Snyk und VMware.
"Diese branchenweite Verpflichtung reagiert auf die Forderung des Weißen Hauses, die Basis für unser gemeinsames Wohlbefinden im Bereich der Cybersicherheit zu erhöhen und Open-Source-Communitys zu 'bezahlen', um ihnen bei der Entwicklung sicherer Software zu helfen, die wir alle lieben. Wir profitieren davon." sagte Jim Zemlin, CEO der Linux Foundation. „Wir freuen uns, dass Brian Behlendorfs Führungsstärke und umfassende Erfahrung beim Aufbau und der Pflege großer Communities und technischer Projekte auf diese Arbeit angewendet werden. Angesichts des enormen Wachstums und der Verbreitung von Open-Source-Software ist es unsere größte Aufgabe, skalierbare Cybersicherheitsprogramme und -praktiken zu entwickeln.
Diese Finanzierung ist Teil einer Zusammenarbeit zwischen Industrien die mehrere Open-Source-Softwareinitiativen mit demselben Ziel zusammenführt um Cybersicherheitsschwachstellen in Open-Source-Software zu identifizieren und zu beheben und verbesserte Tools, Schulungen, Forschung, Best Practices und Offenlegungspraktiken für Schwachstellen entwickeln.
Als eine Erinnerung, Die Arbeit von OpenSSF konzentriert sich auf Bereiche wie koordinierte Offenlegung von Schwachstellen, Patch-Verteilung, Entwicklung von Sicherheitstools, Veröffentlichung von Best Practices für sichere Entwicklungsorganisation, Identifizierung sicherheitsrelevanter Bedrohungen in Open Source Software, Auditing- und Stärkungsarbeiten, unternehmenskritische Open Source Projekte, Erstellung von Tools zur Überprüfung der Identität von Entwicklern.
- Sicherheits-Scorecard- Ein vollautomatisches Tool, das eine Reihe wichtiger Heuristiken ("Checks") im Zusammenhang mit der Softwaresicherheit auswertet.
- Best Practices-Abzeichen- Eine Reihe von Best Practices der Core Infrastructure Initiative zur Herstellung hochwertiger sicherer Software, die es OSS-Projekten ermöglicht, durch Abzeichen zu demonstrieren, dass sie ihnen folgen.
- Sicherheitsrichtlinien: Allstar bietet ein Set und setzt Sicherheitsrichtlinien in Repositorys oder Organisationen durch.
- Framework: Software Artifact Supply Chain Levels (SLSAs) bieten einen Sicherheitsrahmen, um die Integrität der Software-Lieferkette zu erhöhen.
- Ausbildung- Kostenlose Kurse zu den Grundlagen der sicheren Softwareentwicklung, die die Community-Mitglieder in der Entwicklung sicherer Software schulen
- Offenlegung von Sicherheitslücken: Ein Leitfaden zur koordinierten Offenlegung von Schwachstellen für OSS-Projekte
- Paketanalyse: Suche nach Schadsoftware in OSS-Paketen
- Sicherheitskontrollen- Öffentliche Sammlung von OSS-Sicherheitspatches
- Forschung- Studien zu Open-Source-Software und kritischen Sicherheitslücken, die in Zusammenarbeit mit dem Harvard Laboratory for Innovation Sciences (LISH) durchgeführt wurden (z. B. eine vorläufige Volkszählung und eine FOSS-Contributor-Umfrage)
La OpenSSF baut weiterhin auf Initiativen wie der Central Infrastructure Initiative und der Open Source Security Coalition auf und bündelt andere sicherheitsrelevante Arbeiten von Unternehmen, die sich dem Projekt angeschlossen haben.
"Es gab noch nie eine aufregendere Zeit für die Arbeit in der Open-Source-Community, und die Sicherheit der Software-Lieferkette hat noch nie mehr unserer Aufmerksamkeit erfordert", sagte Brian Behlendorf, CEO der Open Source Security Foundation. „Es gibt keine Zauberformel, um Software-Lieferketten abzusichern. Forschung, Schulung, Best Practices, Tools und Zusammenarbeit erfordern die gemeinsame Kraft Tausender kritischer Köpfe in unserer Community. Die OpenSSF-Finanzierung gibt uns das Forum und die Ressourcen, um diese Arbeit zu leisten.
Schließlich Wenn Sie mehr darüber wissen möchten, Sie können die Originalveröffentlichung in überprüfen den folgenden Link.