Linuxi sihtasutus teatas ettevõtte asutamisest uus projekt nimega "OpenSSF" (Open Source Security Foundation) mis Selle peamine eesmärk on koguda töö tööstuse juhid avatud lähtekoodiga tarkvara turvalisuse suurendamise valdkonnas.
Sellega OpenSSF jätkab selliste algatuste arendamist nagu infrastruktuuri algatus ja avatud lähtekoodiga turvalisuse koalitsioon (Central Infrastructure Initiative ja Open Source Security Coalition) ning koondavad muud projektiga liitunud ettevõtete turvalisusega seotud tööd.
OpenSSF-i asutajaliikmed sisaldama GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, OWASP Foundation ja Red Hat.
Kuigi omalt poolt GitLab, HackerOne, Intel, Uber, VMware, ElevenPaths, Okta, Purdue, SAFECode, StackHawk ja Bittide rada liitusid osalejatena.
La OpenSSF on tööstuste vaheline koostöö juhtide kokkutoomine avatud lähtekoodiga tarkvara turvalisuse parandamiseks luues laiema kogukonna, konkreetsed algatused ja head tavad.
Selle põhjus selle projekti loomine on sündinud tänapäevase maailma uurimisest, kus Avatud lähtekoodiga tarkvara on paljudes tööstusharudes suur nõudlus, kuid arengu üksikasjade tõttu mõjutavad selle turvalisust sõltuvuste ahelad ja arengus osalejad.
OpenSSF on tööstusharudevaheline koostöö, mis ühendab juhte, et parandada avatud lähtekoodiga tarkvara (OSS) turvalisust, ehitades sihipäraste algatuste ja parimate tavade abil laiema kogukonna.
Seetõttu avatud lähtekoodiga projektide turvalisuse kinnitamiseks, on oluline kontrollida lisaks põhikoodile ka sõltuvusi, samuti nende arendajate tuvastamine, kelle kood on projektis aktsepteeritud, ja usaldusväärne autentimine ülevaatuse ja pühendumuse ajal.
Lisaks nõuab turvalisus turvaliste ehitussüsteemide kasutamist ja järkude verifitseerimist.
Avatud lähtekoodiga tarkvara on andmekeskustes, tarbijaseadmetes ja teenustes laialt levinud, mis näitab selle väärtust nii tehnoloogide kui ka ettevõtete seas.
Arenguprotsessi tõttu on lõpuks lõpptarbijateni jõudval avatud lähtekoodil kaasautorite ja sõltuvuste ahel. On oluline, et teie kasutaja või organisatsiooni turvalisuse eest vastutavad isikud saaksid aru saada ja kontrollida selle sõltuvusahela turvalisust.
OpenSSF-i töö keskendub valdkondadele nagu haavatavust käsitleva teabe kooskõlastatud avalikustamine y plaastri levitamine, arendades turvalisuse tööriistu, avaldades turvalise arenduse korraldamise parimaid tavasid, tuvastada avatud lähtekoodiga tarkvara turvalisusega seotud ohud, teha audititöid ja suurendada kriitiliste avatud lähtekoodiga projektide turvalisust, luues tööriistu arendajate identiteedi kontrollimiseks.
Arendajate tuvastamata jätmise põhjustatud ohtude hulgas on mainitud võimalust, et ründaja võib hankida hooldajaõigused pahatahtlike muudatuste tegemiseks, dubleerida kontosid oma koodi ülevaatamiseks, mainides teiste inimestena poseerivate jäljendajate osalemist. teatavatele ettevõtetele töö nõudmine.
"Usume, et avatud lähtekood on avalik hüve ja kõigis tööstusharudes on meil kohustus kokku tulla, et parandada ja toetada avatud lähtekoodiga tarkvara turvalisust, millest me kõik sõltume," ütles The Linux Foundationi tegevjuht Jim Zemlin.
Näiteks identifitseerimisprobleemid hõlmavad sündmuse voo teegist sõltuvat intsidenti pärast eskordi edastamist kontrollimata isikule, kellega endine haldur võttis ühendust ainult e-posti teel, või arvukalt pistikprogrammi müüke ja kolmanda osapoole brauseri lisandmoodulid.
Lõpuks kui soovite selle kohta rohkem teada saada, üksikasju saate vaadata Linuxi sihtasutuse algsest väljaandest Järgmisel lingil.
Või ka võite külastada OpenSSF-i veebisaiti Järgmisel lingil.