Baru-baru ini Yayasan Linux diresmikan melalui posting blog komitmen oleh OpenSSF (Yayasan Keamanan Sumber Terbuka) untuk mendanai Yayasan Linux dengan $ 10 juta, ini sebagai bagian dari upaya untuk meningkatkan keamanan perangkat lunak open source.
Disebutkan bahwa Dana yang terkumpul adalah melalui royalti dari perusahaan induk OpenSSF, termasuk Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, Google, IBM, Intel, JPMorgan Chase, Microsoft, Morgan Stanley, Oracle, Red Hat, Snyk, dan VMware.
"Komitmen seluruh industri ini menanggapi seruan Gedung Putih untuk meningkatkan dasar bagi kesejahteraan keamanan siber kolektif kita, serta 'membayar' kepada komunitas open source untuk membantu mereka menciptakan perangkat lunak aman yang kita semua sukai. Kami mendapat manfaat," kata Jim Zemlin, CEO Yayasan Linux. “Kami senang memiliki kepemimpinan dan pengalaman luas Brian Behlendorf dalam membangun dan memelihara komunitas besar dan proyek teknis yang diterapkan pada pekerjaan ini. Dengan pertumbuhan luar biasa dan penyebaran perangkat lunak sumber terbuka, menciptakan program dan praktik keamanan siber yang berskala adalah tugas terbesar kami."
Pembiayaan ini merupakan bagian dari kerjasama antar industri yang menyatukan beberapa inisiatif perangkat lunak sumber terbuka di bawah tujuan yang sama untuk mengidentifikasi dan memperbaiki kerentanan keamanan siber dalam perangkat lunak sumber terbuka dan mengembangkan alat, pelatihan, penelitian, praktik terbaik, dan praktik pengungkapan kerentanan yang lebih baik.
Sebagai pengingat, Pekerjaan OpenSSF berfokus pada bidang-bidang seperti pengungkapan kerentanan terkoordinasi, distribusi patch, pengembangan alat keamanan, penerbitan praktik terbaik untuk organisasi pengembangan yang aman, identifikasi ancaman terkait keamanan dalam perangkat lunak sumber terbuka, pekerjaan audit dan Penguatan, proyek sumber terbuka yang sangat penting, pembuatan alat untuk memverifikasi identitas pengembang.
- Kartu Skor Keamanan- Alat yang sepenuhnya otomatis yang mengevaluasi sejumlah heuristik penting ("pemeriksaan") yang terkait dengan keamanan perangkat lunak.
- Lencana Praktik Terbaik- Serangkaian praktik terbaik dari Core Infrastructure Initiative untuk menghasilkan perangkat lunak aman berkualitas lebih tinggi yang menyediakan cara bagi proyek OSS untuk menunjukkan melalui lencana bahwa mereka mengikutinya.
- Kebijakan Keamanan: Allstar menyediakan satu set dan memberlakukan kebijakan keamanan di repositori atau organisasi.
- Kerangka: Software Artifact Supply Chain Levels (SLSA) menyediakan kerangka kerja keamanan untuk meningkatkan tingkat integritas rantai pasokan perangkat lunak.
- Pelatihan- Kursus gratis tentang dasar-dasar pengembangan perangkat lunak yang aman yang mendidik anggota komunitas tentang cara mengembangkan perangkat lunak yang aman
- Pengungkapan Kerentanan: Panduan Pengungkapan Kerentanan Terkoordinasi untuk Proyek OSS
- Analisis paket: mencari perangkat lunak berbahaya dalam paket OSS
- Pemeriksaan keamanan- Koleksi publik patch keamanan OSS
- Investigación- Studi tentang perangkat lunak sumber terbuka dan kerentanan keamanan kritis yang dilakukan dalam kemitraan dengan Laboratorium Harvard untuk Ilmu Inovasi (LISH) (misalnya, sensus pendahuluan dan Survei Kontributor FOSS)
La OpenSSF terus membangun inisiatif seperti Inisiatif Infrastruktur Pusat dan Koalisi Keamanan Sumber Terbuka dan menyatukan pekerjaan terkait keamanan lainnya yang dilakukan oleh perusahaan yang telah bergabung dengan proyek.
"Belum pernah ada waktu yang lebih menyenangkan untuk bekerja di komunitas open source, dan keamanan rantai pasokan perangkat lunak tidak pernah membutuhkan lebih banyak perhatian kami," kata Brian Behlendorf, CEO Open Source Security Foundation. “Tidak ada formula ajaib untuk mengamankan rantai pasokan perangkat lunak. Penelitian, pelatihan, praktik terbaik, alat, dan kolaborasi memerlukan kekuatan kolektif dari ribuan pemikir kritis di seluruh komunitas kami. Pendanaan OpenSSF memberi kami forum dan sumber daya untuk melakukan pekerjaan ini.
Akhirnya jika Anda tertarik untuk mengetahui lebih banyak tentang itu, Anda dapat memeriksa publikasi asli di link berikut.