A Fundación Linux anunciou a formación de un novo proxecto chamado "OpenSSF" (Open Source Security Foundation) que O seu principal obxectivo é reunirse o traballo do líderes da industria no campo da mellora da seguridade do software de código aberto.
Con el OpenSSF seguirá desenvolvendo iniciativas como a Infrastructure Initiative e a Open Source Security Coalition (Central Infrastructure Initiative e Open Source Security Coalition) e reunirá outros traballos relacionados coa seguridade que están a realizar as empresas que se adheriron ao proxecto.
Os membros fundadores de OpenSSF incluír GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, OWASP Foundation e Red Hat.
Mentres pola súa banda GitLab, HackerOne, Intel, Uber, VMware, ElevenPaths, Okta, Purdue, SAFECode, StackHawk e Trail of Bits uníronse como participantes.
La OpenSSF é unha colaboración entre industrias reunindo líderes para mellorar a seguridade do software de código aberto creando unha comunidade máis ampla, iniciativas específicas e boas prácticas.
A razón para nace a creación deste proxecto a partir do estudo do mundo moderno no que o O software de código aberto é moi demandado en moitas áreas da industria, pero debido aos detalles do desenvolvemento, a súa seguridade está influenciada por cadeas de dependencias e participantes no desenvolvemento.
OpenSSF é unha colaboración entre industrias que reúne líderes para mellorar a seguridade do software de código aberto (OSS) construíndo unha comunidade máis ampla con iniciativas específicas e mellores prácticas.
Polo tanto, para confirmar a seguridade dos proxectos de código aberto, é importante comprobar non só o código principal, senón tamén as dependencias, así como a identificación dos desenvolvedores cuxo código é aceptado no proxecto e a autenticación fiable durante a revisión e o compromiso.
Ademais, a seguridade require o uso de sistemas de compilación seguros e a verificación de compilación.
O software de código aberto xeneralizouse en centros de datos, dispositivos de consumo e servizos, representando o seu valor tanto por parte dos tecnólogos como das empresas.
Debido ao seu proceso de desenvolvemento, o código aberto que finalmente chega aos usuarios finais ten unha cadea de colaboradores e dependencias. É importante que os responsables da seguridade do seu usuario ou organización poidan comprender e verificar a seguridade desta cadea de dependencia.
O traballo de OpenSSF centrarase en áreas como o divulgación coordinada de información de vulnerabilidade y distribución de parches, desenvolvendo ferramentas de seguridade, publicando as mellores prácticas para unha organización segura de desenvolvemento, identificar ameazas relacionadas coa seguridade para o software de código aberto, realizar traballos de auditoría e aumentar a seguridade de proxectos críticos de código aberto, creando ferramentas para verificar a identidade dos desenvolvedores.
Entre as ameazas causadas pola falta de identificación dos desenvolvedores, faise mención á posibilidade de que un atacante poida obter dereitos de mantedor para facer cambios maliciosos, duplicar contas para revisar o seu propio código, mencionar a participación de impostores que se fan pasar por outras persoas ou reclaman traballar para certas empresas.
"Cremos que o código aberto é un ben público e en todas as industrias temos a responsabilidade de xuntarnos para mellorar e apoiar a seguridade do software de código aberto do que todos dependemos", dixo Jim Zemlin, CEO de The Linux Foundation.
Por exemplo, os problemas de identificación inclúen un incidente con dependencia da biblioteca de fluxo de eventos despois de transferir unha escolta a unha persoa non verificada que o antigo xestor contactou só por correo electrónico ou numerosos casos de vendas de complementos e complementos de navegadores de terceiros. .
Finalmente se queres saber máis sobre el, podes consultar os detalles na publicación orixinal de Linux Foundation Na seguinte ligazón.
Ou tamén podes visitar o sitio web de OpenSSF Na seguinte ligazón.
Sexa o primeiro en opinar sobre