Linux-säätiö on ilmoittanut perustavansa nimeltään uusi projekti "OpenSSF" (Open Source Security Foundation), joka Sen päätavoitteena on kerätä työ alan johtajat avoimen lähdekoodin ohjelmistojen tietoturvan parantamisen alalla.
Sen avulla OpenSSF kehittää edelleen aloitteita, kuten infrastruktuurialoitetta ja avoimen lähdekoodin turvallisuuskoalitiota (Central Infrastructure Initiative ja Open Source Security Coalition) ja tuo yhteen muut turvallisuuteen liittyvät työt, joita projektiin liittyneet yritykset tekevät.
OpenSSF: n perustajajäsenet incluyen GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, OWASP Foundation ja Red Hat.
Vaikka hänen puolestaan GitLab, HackerOne, Intel, Uber, VMware, ElevenPaths, Okta, Purdue, SAFECode, StackHawk ja Trail of Bits liittyi osallistujiksi.
La OpenSSF on teollisuuden välinen yhteistyö tuomalla yhteen johtajat parantamaan avoimen lähdekoodin ohjelmistojen turvallisuutta luomalla laajempi yhteisö, erityisaloitteita ja parhaat käytännöt.
Syy tämän projektin luominen syntyy modernin maailman tutkimuksesta, jossa Avoimen lähdekoodin ohjelmistoilla on suuri kysyntä monilla toimialoilla, mutta kehitystietojen vuoksi sen turvallisuuteen vaikuttavat riippuvuusketjut ja kehityksen osallistujat.
OpenSSF on toimialojen välinen yhteistyö, joka kokoaa johtajat parantamaan avoimen lähdekoodin ohjelmistojen (OSS) turvallisuutta rakentamalla laajemman yhteisön kohdennettujen aloitteiden ja parhaiden käytäntöjen avulla.
Näin ollen, vahvistaa avoimen lähdekoodin projektien turvallisuus, on tärkeää tarkistaa pääkoodin lisäksi myös riippuvuudet, samoin kuin niiden kehittäjien tunnistaminen, joiden koodi hyväksytään projektissa, sekä luotettava todennus tarkistuksen ja sitoutumisen aikana.
Lisäksi tietoturva edellyttää turvallisten koontijärjestelmien ja koontiverifikaation käyttöä.
Avoimen lähdekoodin ohjelmistot ovat yleistyneet datakeskuksissa, kuluttajalaitteissa ja palveluissa, mikä edustaa sen arvoa sekä teknikoiden että yritysten keskuudessa.
Kehitysprosessinsa ansiosta avoimella lähdekoodilla, joka lopulta saavuttaa loppukäyttäjät, on osallistujien ja riippuvuuksien ketju. On tärkeää, että käyttäjän tai organisaation turvallisuudesta vastaavat henkilöt voivat ymmärtää ja varmistaa tämän riippuvuusketjun turvallisuuden.
OpenSSF: n työ keskittyy alueisiin kuten haavoittuvuustietojen koordinoitu paljastaminen y laastarin jakelu, turvallisuustyökalujen kehittäminen, turvallisen kehitysorganisaation parhaiden käytäntöjen julkaiseminen tunnistaa tietoturvauhat avoimen lähdekoodin ohjelmistoille, suorittaa tarkastustöitä ja lisätä kriittisten avoimen lähdekoodin projektien turvallisuutta luomalla työkaluja kehittäjien henkilöllisyyden varmistamiseksi.
Kehittäjien tunnistamisen puutteen aiheuttamista uhista mainitaan mahdollisuus, että hyökkääjä voi hankkia ylläpitäjän oikeudet tehdä haitallisia muutoksia, kopioida tilejä oman koodinsa tarkistamiseksi, muina ihmisinä esiintyvien tai työtä vaativien tekijöiden osallistuminen tietyille yrityksille.
"Uskomme, että avoin lähdekoodi on julkinen hyödyke, ja kaikilla toimialoilla meillä on vastuu tulla yhteen parantamaan ja tukemaan avoimen lähdekoodin ohjelmistojen turvallisuutta, joista me kaikki olemme riippuvaisia", sanoi The Linux Foundationin toimitusjohtaja Jim Zemlin.
Esimerkiksi tunnistuskysymykset sisältävät tapahtuman, joka riippuu tapahtumavirran kirjastosta sen jälkeen, kun se on siirtänyt escortin vahvistamattomalle henkilölle, jonka kanssa entinen johtaja otti yhteyttä vain sähköpostitse, tai lukuisissa tapauksissa laajennusten myyntiä ja kolmannen osapuolen selaimen lisäosia.
Vihdoin jos haluat tietää enemmän siitä, voit tarkistaa yksityiskohdat Linux Foundationin alkuperäisestä julkaisusta Seuraavassa linkissä.
Tai myös voit käydä OpenSSF: n verkkosivustolla Seuraavassa linkissä.