A Linux Alapítvány bejelentette a nevű új projekt "OpenSSF" (Open Source Security Foundation) amely Fő célja az összegyűjtés munkája iparági vezetők a nyílt forráskódú szoftverek biztonságának fejlesztése terén.
Vele OpenSSF folytatja az olyan kezdeményezések kidolgozását, mint az infrastrukturális kezdeményezés és a nyílt forráskódú biztonsági koalíció (Központi Infrastruktúra Kezdeményezés és a Nyílt Forrású Biztonsági Koalíció), és összefogja a biztonsággal kapcsolatos egyéb munkákat, amelyeket a projekthez csatlakozó vállalatok végeznek.
Az OpenSSF alapító tagjai Ezek közé GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, OWASP Foundation és Red Hat.
Míg a maga részéről GitLab, HackerOne, Intel, Uber, VMware, ElevenPaths, Okta, Purdue, SAFECode, StackHawk és Trail of Bits résztvevőként csatlakozott.
La Az OpenSSF az iparágak közötti együttműködés vezetők összefogása a nyílt forráskódú szoftverek biztonságának javítása érdekében szélesebb közösség létrehozásával, konkrét kezdeményezések és a bevált gyakorlatok.
Az OK hogy megszületik ennek a projektnek a létrehozása a modern világ tanulmányozásából, amelyben a A nyílt forráskódú szoftverekre az ipar számos területén nagy a kereslet, de a fejlesztési részletek miatt biztonságát függőségi láncok és a fejlesztésben résztvevők befolyásolják.
Az OpenSSF egy iparágközi együttműködés, amely összehozza a vezetőket, hogy javítsák a nyílt forráskódú szoftverek (OSS) biztonságát egy szélesebb közösség felépítésével, célzott kezdeményezésekkel és bevált gyakorlatokkal.
Ezért, a nyílt forráskódú projektek biztonságának megerősítése, fontos, hogy ellenőrizzük nemcsak a fő kódot, hanem a függőségeket is, valamint a fejlesztők azonosítása, akiknek a kódját elfogadják a projektben, valamint a felülvizsgálat és az elkötelezettség során a megbízható hitelesítés.
Ezenkívül a biztonság megköveteli a biztonságos építési rendszerek és az összeállítások ellenőrzését.
A nyílt forráskódú szoftver széles körben elterjedt az adatközpontokban, a fogyasztói eszközökben és a szolgáltatásokban, ami értékét képviseli a technológusok és az üzleti vállalkozások körében egyaránt.
Fejlesztési folyamata miatt a végfelhasználókat végül elérő nyílt forráskódnak közreműködői és függőségi láncolata van. Fontos, hogy a felhasználó vagy szervezet biztonságáért felelős személyek megértsék és ellenőrizzék a függőségi lánc biztonságát.
Az OpenSSF munkája a területekre összpontosul mint például a a sebezhetőségre vonatkozó információk összehangolt közzététele y javítás terjesztése, a biztonsági eszközök fejlesztése, a biztonságos fejlesztés megszervezésével kapcsolatos bevált gyakorlatok közzététele azonosítsa a nyílt forráskódú szoftverek biztonságával kapcsolatos fenyegetéseket, végezze el az audit munkáját és növelje a kritikus nyílt forráskódú projektek biztonságát, létrehozva eszközöket a fejlesztők személyazonosságának ellenőrzésére.
A fejlesztők azonosításának hiánya által okozott fenyegetések között megemlítik annak lehetőségét, hogy a támadó fenntartói jogokat szerezhet rosszindulatú változtatások elvégzéséhez, a fiókok másolatát saját kódjának felülvizsgálatához, más személyekként feltévesztett posztolók részvételét, vagy munka igénylése bizonyos vállalatok számára.
"Úgy gondoljuk, hogy a nyílt forráskód közjavaknak számít, és minden iparágban felelősségünk van összefogni a nyílt forráskódú szoftverek biztonságának javítása és támogatása érdekében, amelyeken mindannyian függünk" - mondta Jim Zemlin, a The Linux Foundation vezérigazgatója.
Például az azonosítási problémák magukban foglalják az eseményfolyam függőségét az eseményfolyam után, miután egy kíséretet átadtak egy igazolatlan személynek, akivel a korábbi vezető csak e-mailben lépett kapcsolatba, vagy számos plug-in értékesítéssel és harmadik féltől származó böngészőbővítmények.
Végül ha többet akarsz megtudni róla, ellenőrizheti a részleteket a Linux Foundation eredeti kiadványában A következő linken.
Vagy szintén ellátogathat az OpenSSF weboldalára A következő linken.
Legyen Ön az első hozzászóló