Die Linux Foundation hat die Gründung von angekündigt ein neues Projekt namens "OpenSSF" (Open Source Security Foundation) welche Ihr Hauptziel ist es, zu sammeln die Arbeit der Branchenführer auf dem Gebiet der Verbesserung der Open Source-Software-Sicherheit.
Damit OpenSSF wird weiterhin Initiativen wie die Infrastrukturinitiative und die Open Source Security Coalition entwickeln (Central Infrastructure Initiative und Open Source Security Coalition) und wird andere sicherheitsrelevante Arbeiten zusammenführen, die von Unternehmen durchgeführt werden, die sich dem Projekt angeschlossen haben.
Die Gründungsmitglieder von OpenSSF umfassen GitHub, Google, IBM, JP Morgan Chase, Microsoft, NCC Group, OWASP Foundation und Red Hat.
Während für seinen Teil GitLab, HackerOne, Intel, Uber, VMware, ElevenPaths, Okta, Purdue, SAFECode, StackHawk und Trail of Bits als Teilnehmer beigetreten.
La OpenSSF ist eine Zusammenarbeit zwischen Branchen Zusammenführung von Führungskräften zur Verbesserung der Sicherheit von Open Source-Software durch die Schaffung einer breiteren Gemeinschaft, spezifische Initiativen und Best Practices.
Der Grund für Die Schaffung dieses Projekts ist geboren aus dem Studium der modernen Welt, in der die Open Source Software ist in vielen Bereichen der Branche sehr gefragtAufgrund der Besonderheiten der Entwicklung wird ihre Sicherheit jedoch von Abhängigkeitsketten und Entwicklungsteilnehmern beeinflusst.
OpenSSF ist eine branchenübergreifende Zusammenarbeit, die Führungskräfte zusammenbringt, um die Sicherheit von Open Source-Software (OSS) zu verbessern, indem eine breitere Community mit gezielten Initiativen und Best Practices aufgebaut wird.
Deshalb um die Sicherheit von Open Source-Projekten zu bestätigen, Es ist wichtig, nicht nur den Hauptcode, sondern auch die Abhängigkeiten zu überprüfen. sowie die Identifizierung der Entwickler, deren Code im Projekt akzeptiert wird, und die zuverlässige Authentifizierung während der Überprüfung und der Verpflichtung.
Darüber hinaus erfordert die Sicherheit die Verwendung sicherer Build-Systeme und die Build-Überprüfung.
Open-Source-Software ist in Rechenzentren, Consumer-Geräten und Diensten weit verbreitet und repräsentiert ihren Wert sowohl bei Technologen als auch bei Unternehmen.
Open Source, das letztendlich die Endbenutzer erreicht, weist aufgrund seines Entwicklungsprozesses eine Reihe von Mitwirkenden und Abhängigkeiten auf. Es ist wichtig, dass die für die Sicherheit Ihres Benutzers oder Ihrer Organisation Verantwortlichen die Sicherheit dieser Abhängigkeitskette verstehen und überprüfen können.
Die Arbeit von OpenSSF wird sich auf Bereiche konzentrieren wie koordinierte Offenlegung von Schwachstelleninformationen y Patch-Verteilung, Entwicklung von Sicherheitstools, Veröffentlichung von Best Practices für eine sichere Entwicklungsorganisation, sicherheitsrelevante Bedrohungen für Open Source-Software identifizieren, Führen Sie Audit-Arbeiten durch und erhöhen Sie die Sicherheit kritischer Open Source-Projekte. Erstellen Sie Tools, um die Identität von Entwicklern zu überprüfen.
Unter den Bedrohungen, die durch die mangelnde Identifizierung der Entwickler verursacht werden, wird die Möglichkeit erwähnt, dass ein Angreifer das Recht des Betreuers erhält, böswillige Änderungen vorzunehmen, Konten zu duplizieren, um seinen eigenen Code zu überprüfen, die Teilnahme von Betrügern, die sich als andere Personen ausgeben, oder erwähnt wird Anspruch auf Arbeit für bestimmte Unternehmen.
"Wir glauben, dass Open Source ein öffentliches Gut ist, und in allen Branchen haben wir die Verantwortung, zusammenzukommen, um die Sicherheit der Open Source-Software, auf die wir alle angewiesen sind, zu verbessern und zu unterstützen", sagte Jim Zemlin, CEO der Linux Foundation.
Zu den Identifikationsproblemen gehören beispielsweise ein Vorfall mit einer Abhängigkeit von der Ereignisstrombibliothek, nachdem eine Eskorte an eine nicht verifizierte Person übertragen wurde, die vom früheren Manager nur per E-Mail kontaktiert wurde, oder zahlreiche Fälle von Plug-In-Verkäufen und Browser-Add-Ons von Drittanbietern .
Schließlich wenn Sie mehr darüber wissen wollen, Sie können die Details in der Originalveröffentlichung der Linux Foundation überprüfen im folgenden Link.
Oder auch Sie können die OpenSSF-Website besuchen im folgenden Link.