La Linux Foundation ha annunciato la formazione di un nuovo progetto chiamato "OpenSSF" (Open Source Security Foundation) che Il suo obiettivo principale è raccogliere il lavoro di leader del settore nel campo del miglioramento della sicurezza del software open source.
Con esso OpenSSF continuerà a sviluppare iniziative come l'iniziativa per le infrastrutture e la coalizione per la sicurezza open source (Central Infrastructure Initiative e Open Source Security Coalition) e riunirà altri lavori relativi alla sicurezza svolti dalle aziende che hanno aderito al progetto.
I membri fondatori di OpenSSF essi comprendono GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, OWASP Foundation e Red Hat.
Mentre da parte sua GitLab, HackerOne, Intel, Uber, VMware, ElevenPaths, Okta, Purdue, SAFECode, StackHawk e Trail of Bits si sono uniti come partecipanti.
La OpenSSF è una collaborazione tra industrie riunire i leader per migliorare la sicurezza del software open source creando una comunità più ampia, iniziative specifiche e le migliori pratiche.
La ragione per nasce la creazione di questo progetto dallo studio del mondo moderno in cui il Il software open source è molto richiesto in molte aree del settore, ma a causa delle specificità dello sviluppo, la sua sicurezza è influenzata da catene di dipendenze e partecipanti allo sviluppo.
OpenSSF è una collaborazione intersettoriale che riunisce i leader per migliorare la sicurezza del software open source (OSS) creando una comunità più ampia con iniziative mirate e best practice.
Pertanto, per confermare la sicurezza dei progetti open source, è importante controllare non solo il codice principale, ma anche le dipendenze, così come l'identificazione degli sviluppatori il cui codice è accettato nel progetto e l'autenticazione affidabile durante la revisione e l'impegno.
Inoltre, la sicurezza richiede l'uso di sistemi di compilazione sicuri e verifica della compilazione.
Il software open source si è diffuso nei data center, nei dispositivi di consumo e nei servizi, rappresentando il suo valore tra i tecnologi e le aziende.
A causa del suo processo di sviluppo, l'open source che alla fine raggiunge gli utenti finali ha una catena di contributori e dipendenze. È importante che i responsabili della sicurezza del tuo utente o dell'organizzazione possano comprendere e verificare la sicurezza di questa catena di dipendenza.
Il lavoro di OpenSSF si concentrerà sulle aree come il divulgazione coordinata delle informazioni sulla vulnerabilità y distribuzione delle patch, sviluppo di strumenti per la sicurezza, pubblicazione di best practice per un'organizzazione di sviluppo sicura, identificare le minacce relative alla sicurezza al software open source, eseguire lavori di Audit e aumentare la sicurezza dei progetti critici open source, creando strumenti per verificare l'identità degli sviluppatori.
Tra le minacce causate dalla mancanza di identificazione degli sviluppatori, si menziona la possibilità che un utente malintenzionato possa ottenere i diritti di manutentore per apportare modifiche dannose, duplicare gli account per rivedere il proprio codice, la partecipazione di impostori che si spacciano per altre persone o viene menzionata rivendicare il lavoro per alcune aziende.
"Crediamo che l'open source sia un bene pubblico e in tutti i settori abbiamo la responsabilità di unirci per migliorare e supportare la sicurezza del software open source da cui tutti dipendiamo", ha affermato Jim Zemlin, CEO di The Linux Foundation.
Ad esempio, i problemi di identificazione includono un incidente con una dipendenza dalla libreria del flusso di eventi dopo il trasferimento di una scorta a una persona non verificata che è stata contattata dall'ex manager solo tramite e-mail, o numerosi casi di vendite di plug-in e componenti aggiuntivi del browser di terze parti .
Infine se vuoi saperne di più, puoi controllare i dettagli nella pubblicazione originale della Linux Foundation nel seguente link
O anche puoi visitare il sito web di OpenSSF nel seguente link