OpenSSF: projekto enfokusigita al plibonigo de la sekureco de malfermfontaj programoj

La Linuksa Fondaĵo anoncis la formadon de nova projekto nomata "OpenSSF" (Open Source Security Foundation) kiu Ĝia ĉefa celo estas kolekti la verko de la industriaj gvidantoj en la kampo de malferma programaro pri sekureca plibonigo.

Kun ĝi OpenSSF daŭre disvolvos iniciatojn kiel la Infrastruktura Iniciato kaj la Malferma Fonta Sekureca Koalicio (Centra Infrastruktura Iniciato kaj la Malferma Fonta Sekureca Koalicio) kaj kunvenigos aliajn sekurecajn laborojn faratajn de kompanioj, kiuj aliĝis al la projekto.

La fondaj membroj de OpenSSF inkluzivi GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC-Grupo, OWASP-Fondaĵo kaj Red Hat.

Dum liaflanke GitLab, HackerOne, Intel, Uber, VMware, ElevenPaths, Okta, Purdue, SAFECode, StackHawk kaj Trail of Bits aliĝis kiel partoprenantoj.

La OpenSSF estas kunlaboro inter industrioj kunvenigi estrojn por plibonigi la sekurecon de malfermfontaj programoj per kreado de pli vasta komunumo, specifaj iniciatoj kaj plej bonaj praktikoj.

La kialo de la kreo de ĉi tiu projekto naskiĝas el la studo de la moderna mondo en kiu la Malfermfonteca programaro tre postulas en multaj lokoj de la industrio, sed pro evoluaj detaloj, ĝian sekurecon influas ĉenoj de dependecoj kaj evoluantaj partoprenantoj.

OpenSSF estas interindustria kunlaboro, kiu kunigas gvidantojn por plibonigi la sekurecon de malfermfontaj programoj (OSS) per konstruado de pli larĝa komunumo kun celitaj iniciatoj kaj plej bonaj praktikoj.

Sekve, por konfirmi la sekurecon de malfermfontaj projektoj, gravas kontroli ne nur la ĉefan kodon, sed ankaŭ la dependecojn, same kiel la identigo de la programistoj kies kodo estas akceptita en la projekto kaj la fidinda aŭtentikigo dum la revizio kaj la devontigo.

Krome, sekureco postulas uzon de sekuraj konstruaj sistemoj kaj konstrukontrolo.

Malferma fonta programaro disvastiĝis en datumcentroj, konsumantaj aparatoj kaj servoj, reprezentante ĝian valoron inter teologistsnologoj kaj entreprenoj. 

Pro ĝia disvolva procezo, malfermita fonto, kiu fine atingas finajn uzantojn, havas ĉenon de kontribuantoj kaj dependecoj. Gravas, ke la respondeculoj pri la sekureco de via uzanto aŭ organizo povas kompreni kaj kontroli la sekurecon de ĉi tiu dependeca ĉeno.

La laboro de OpenSSF fokusiĝos al areoj kiel ekzemple la kunordigita malkaŝo de vundeblaj informoj y flika distribuo, disvolvante ilojn por sekureco, publikigante plej bonajn praktikojn por sekura disvolva organizo, identigi sekurecajn minacojn al malfermfontaj programoj, plenumi kontrolan laboron kaj pliigi la sekurecon de kritikaj malfermfontaj projektoj, kreante ilojn por kontroli la identecon de programistoj.

Inter la minacoj kaŭzitaj de la manko de identigo de la programistoj, la eblo de atakanto akiri rajtojn de subtenanto fari malicajn ŝanĝojn, duplikati kontojn por revizii sian propran kodon, mencii la partoprenon de trompantoj parodiantaj aliajn homojn aŭ asertanta laboron por iuj kompanioj.

"Ni kredas, ke malferma fonto estas publika bono kaj en ĉiuj industrioj ni havas la respondecon kuniĝi por plibonigi kaj subteni la sekurecon de la liberfonta programaro, de kiu ni ĉiuj dependas," diris Jim Zemlin, ĉefoficisto de The Linux Foundation.

Ekzemple, identigaj aferoj inkluzivas okazaĵon kun dependeco de la evento-flua biblioteko post transdonado de eskorto al nekonfirmita persono, kun kiu la eksa administranto kontaktis nur per retpoŝto, aŭ multajn kazojn de aldonaĵaj vendoj. kaj triaj retumilaj aldonaĵoj.

Fine se vi volas scii pli pri ĝi, vi povas kontroli la detalojn en la originala eldono de la Linuksa Fondaĵo En la sekva ligilo.

Aŭ ankaŭ vi povas viziti la retejon de OpenSSF En la sekva ligilo.


La enhavo de la artikolo aliĝas al niaj principoj de redakcia etiko. Por raporti eraron alklaku Ĉi tie.

Estu la unua por komenti

Lasu vian komenton

Via retpoŝta adreso ne estos eldonita.

*

*

  1. Respondeculo pri la datumoj: Miguel Ángel Gatón
  2. Celo de la datumoj: Kontrola SPAM, administrado de komentoj.
  3. Legitimado: Via konsento
  4. Komunikado de la datumoj: La datumoj ne estos komunikitaj al triaj krom per laŭleĝa devo.
  5. Stokado de datumoj: Datumbazo gastigita de Occentus Networks (EU)
  6. Rajtoj: Iam ajn vi povas limigi, retrovi kaj forigi viajn informojn.

bool (vera)