Linux Foundation najavio je osnivanje novi projekt pod nazivom "OpenSSF" (Open Source Security Foundation) koja Njegov je glavni cilj okupiti rad vodeći u industriji na polju poboljšanja sigurnosti softvera otvorenog koda.
Uz to OpenSSF nastavit će razvijati inicijative poput Infrastrukturne inicijative i Sigurnosne koalicije otvorenog koda (Inicijativa za središnju infrastrukturu i Sigurnosna koalicija otvorenog koda) i okupit će ostale poslove povezane sa sigurnošću koje izvode tvrtke koje su se pridružile projektu.
Članovi osnivači OpenSSF-a oni uključuju GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, OWASP Foundation i Red Hat.
Dok je sa svoje strane GitLab, HackerOne, Intel, Uber, VMware, ElevenPaths, Okta, Purdue, SAFECode, StackHawk i Trail of Bits pridružili kao sudionici.
La OpenSSF je suradnja među industrijama okupljajući vođe radi poboljšanja sigurnosti softvera otvorenog koda stvaranjem šire zajednice, konkretne inicijative i najbolje prakse.
Razlog za rođeno je stvaranje ovog projekta iz proučavanja suvremenog svijeta u kojem Softver otvorenog koda vrlo je tražen u mnogim područjima industrije, ali zbog razvojnih detalja na njegovu sigurnost utječu lanci ovisnosti i sudionici u razvoju.
OpenSSF je međuindustrijska suradnja koja okuplja čelnike kako bi poboljšali sigurnost softvera otvorenog koda (OSS) izgradnjom šire zajednice s ciljanim inicijativama i najboljim praksama.
Stoga, za potvrdu sigurnosti projekata otvorenog koda, važno je provjeriti ne samo glavni kod, već i ovisnosti, kao i identifikacija programera čiji je kôd prihvaćen u projektu i pouzdana autentifikacija tijekom pregleda i obveze.
Uz to, sigurnost zahtijeva upotrebu sigurnih sustava gradnje i provjere gradnje.
Softver otvorenog koda postao je široko rasprostranjen u podatkovnim centrima, potrošačkim uređajima i uslugama, što predstavlja njegovu vrijednost među tehnolozima i tvrtkama.
Zbog svog razvojnog procesa, otvoreni izvor koji na kraju dolazi do krajnjih korisnika ima lanac suradnika i ovisnosti. Važno je da oni koji su odgovorni za sigurnost vašeg korisnika ili organizacije mogu razumjeti i provjeriti sigurnost ovog lanca ovisnosti.
Rad OpenSSF-a usredotočit će se na područja kao koordinirano otkrivanje podataka o ranjivosti y distribucija zakrpe, razvoj alata za sigurnost, objavljivanje najboljih praksi za organizaciju sigurnog razvoja, prepoznati sigurnosne prijetnje softveru otvorenog koda, obaviti reviziju i povećati sigurnost kritičnih projekata otvorenog koda, stvarajući alate za provjeru identiteta programera.
Među prijetnjama uzrokovanim nedostatkom identifikacije programera, spominje se mogućnost da napadač može dobiti prava održavatelja za uvođenje zlonamjernih promjena, duplicirati račune za pregled vlastitog koda, spomenuti sudjelovanje varalica koje se predstavljaju kao drugi ljudi ili tvrde raditi za određene tvrtke.
"Vjerujemo da je otvoreni izvor javno dobro i u svim smo industrijama dužni okupiti se kako bismo poboljšali i podržali sigurnost softvera otvorenog koda o kojem svi ovisimo", rekao je Jim Zemlin, izvršni direktor zaklade Linux.
Primjerice, problemi s identifikacijom uključuju incident koji ovisi o biblioteci tokova događaja nakon prijenosa pratnje na neprovjerenu osobu s kojom je bivši upravitelj kontaktirao samo putem e-pošte ili brojne slučajeve prodaje dodataka i dodataka preglednika treće strane.
Konačno ako želite znati više o tome, pojedinosti možete provjeriti u izvornoj publikaciji Linux Foundation U sljedećem linku.
Ili također možete posjetiti web stranicu OpenSSF U sljedećem linku.