Linux Foundation telah mengumumkan pembentukan sebuah proyek baru bernama "OpenSSF" (Open Source Security Foundation) yang Tujuan utamanya adalah untuk berkumpul pekerjaan pemimpin industri di bidang peningkatan keamanan perangkat lunak open source.
Dengan itu OpenSSF akan terus mengembangkan inisiatif seperti Prakarsa Infrastruktur dan Koalisi Keamanan Sumber Terbuka (Inisiatif Infrastruktur Pusat dan Koalisi Keamanan Sumber Terbuka) dan akan menyatukan pekerjaan terkait keamanan lainnya yang dilakukan oleh perusahaan yang telah bergabung dalam proyek.
Anggota pendiri OpenSSF termasuk GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, OWASP Foundation, dan Red Hat.
Sedangkan untuk bagiannya GitLab, HackerOne, Intel, Uber, VMware, ElevenPaths, Okta, Purdue, SAFECode, StackHawk, dan Trail of Bits bergabung sebagai peserta.
La OpenSSF merupakan kolaborasi antar industri mempertemukan para pemimpin untuk meningkatkan keamanan perangkat lunak sumber terbuka dengan menciptakan komunitas yang lebih luas, inisiatif khusus dan praktik terbaik.
Alasan untuk penciptaan proyek ini lahir dari studi tentang dunia modern di mana Perangkat lunak open source sangat diminati di banyak area industri, tetapi karena pengembangan spesifik, keamanannya dipengaruhi oleh rantai ketergantungan dan peserta pengembangan.
OpenSSF adalah kolaborasi antar industri yang menyatukan para pemimpin untuk meningkatkan keamanan perangkat lunak open source (OSS) dengan membangun komunitas yang lebih luas dengan inisiatif dan praktik terbaik yang ditargetkan.
Oleh karena itu, untuk mengonfirmasi keamanan proyek sumber terbuka, penting untuk memeriksa tidak hanya kode utama, tetapi juga dependensi, serta identifikasi pengembang yang kodenya diterima dalam proyek dan otentikasi yang andal selama peninjauan dan komitmen.
Selain itu, keamanan memerlukan penggunaan sistem build aman dan verifikasi build.
Perangkat lunak sumber terbuka telah tersebar luas di pusat data, perangkat konsumen, dan layanan, yang menunjukkan nilainya di antara para ahli teknologi dan bisnis.
Karena proses pengembangannya, open source yang pada akhirnya menjangkau pengguna akhir memiliki rantai kontributor dan dependensi. Penting bahwa mereka yang bertanggung jawab atas keamanan pengguna atau organisasi Anda dapat memahami dan memverifikasi keamanan rantai ketergantungan ini.
Pekerjaan OpenSSF akan fokus pada area seperti pengungkapan terkoordinasi informasi kerentanan y distribusi patch, mengembangkan alat untuk keamanan, menerbitkan praktik terbaik untuk organisasi pengembangan yang aman, mengidentifikasi ancaman terkait keamanan terhadap perangkat lunak sumber terbuka, melakukan pekerjaan Audit dan meningkatkan keamanan proyek sumber terbuka penting, membuat alat untuk memverifikasi identitas pengembang.
Di antara ancaman yang disebabkan oleh kurangnya identifikasi pengembang, disebutkan kemungkinan bahwa penyerang dapat memperoleh hak pengelola untuk membuat perubahan berbahaya, akun duplikat untuk meninjau kode mereka sendiri, partisipasi penipu yang menyamar sebagai orang lain atau disebutkan. mengklaim pekerjaan untuk perusahaan tertentu.
"Kami percaya bahwa open source adalah barang publik dan di semua industri kami memiliki tanggung jawab untuk bersama-sama meningkatkan dan mendukung keamanan perangkat lunak open source yang kami andalkan," kata Jim Zemlin, CEO The Linux Foundation.
Misalnya, masalah identifikasi mencakup insiden dengan ketergantungan pada pustaka aliran acara setelah mentransfer pendamping ke orang yang belum diverifikasi yang dihubungi oleh mantan manajer hanya melalui email, atau banyak kasus penjualan plug-in dan add-on browser pihak ketiga.
Akhirnya jika Anda ingin tahu lebih banyak tentang itu, Anda dapat memeriksa detailnya di publikasi asli Linux Foundation Di tautan berikut.
Atau juga Anda dapat mengunjungi situs OpenSSF Di tautan berikut.