OpenSSF: פרויקט המתמקד בשיפור האבטחה של תוכנת קוד פתוח

קרן לינוקס הודיעה על הקמתה של פרויקט חדש שנקרא "OpenSSF" (קרן אבטחת קוד פתוח) אשר מטרתה העיקרית היא לאסוף העבודה של מובילים בתעשייה בתחום שיפור אבטחת תוכנה בקוד פתוח.

איתו OpenSSF ימשיך לפתח יוזמות כמו יוזמת התשתיות וקואליציית האבטחה קוד פתוח (יוזמת התשתיות המרכזית וקואליציית האבטחה הקוד הפתוח) ותפגיש עבודה נוספת הקשורה לאבטחה המתבצעת על ידי חברות שהצטרפו לפרויקט.

החברים המייסדים של OpenSSF כוללים GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, OWASP Foundation ו- Red Hat.

אמנם מצידו GitLab, HackerOne, Intel, Uber, VMware, ElevenPaths, Okta, Purdue, SAFECode, StackHawk, and Trail of Bits הצטרף כמשתתפים.

La OpenSSF הוא שיתוף פעולה בין תעשיות קירוב מנהיגים לשיפור האבטחה של תוכנת קוד פתוח על ידי יצירת קהילה רחבה יותר, יוזמות ספציפיות ושיטות עבודה מומלצות.

הסיבה ל יצירת הפרויקט נולדת ממחקר העולם המודרני בו תוכנת קוד פתוח מבוקשת מאוד באזורים רבים בענף, אך בשל פרטי פיתוח, אבטחתו מושפעת מרשתות תלות ומשתתפי פיתוח.

OpenSSF הוא שיתוף פעולה חוצה ענפים המאגד מנהיגים לשיפור האבטחה של תוכנת קוד פתוח (OSS) על ידי בניית קהילה רחבה יותר עם יוזמות ממוקדות ושיטות עבודה מומלצות.

לכן, כדי לאשר את האבטחה של פרויקטים בקוד פתוח, חשוב לבדוק לא רק את הקוד הראשי, אלא גם את התלות, כמו גם זיהוי היזמים שקודם מתקבל בפרויקט ואימות מהימן במהלך הבדיקה וההתחייבות.

בנוסף, אבטחה מחייבת שימוש במערכות בנייה מאובטחות ואימות בנייה.

תוכנת קוד פתוח נפוצה במרכזי נתונים, מכשירי צריכה ושירותים, מה שמייצג את ערכה בקרב טכנולוגים ועסקים כאחד. 

בשל תהליך הפיתוח שלה, קוד פתוח שמגיע בסופו של דבר למשתמשי הקצה כולל שרשרת של תורמים ותלות. חשוב שאחראים על אבטחת המשתמש או הארגון שלך יוכלו להבין ולאמת את אבטחת שרשרת התלות הזו.

עבודתו של OpenSSF תתמקד בתחומים כמו ה גילוי מתואם של מידע על פגיעות y חלוקת טלאים, פיתוח כלים לאבטחה, פרסום שיטות עבודה מומלצות לארגון פיתוח מאובטח, לזהות איומים הקשורים לאבטחה על תוכנת קוד פתוח, לבצע עבודות ביקורת ולהגביר את האבטחה של פרויקטים קוד פתוח קריטיים, וליצור כלים לאימות זהות המפתחים.

בין האיומים שנגרמו מחוסר הזיהוי של המפתחים, מוזכרת האפשרות שתוקף רשאי להשיג זכויות של מתנהלים לבצע שינויים זדוניים, לשכפל חשבונות לבדיקת הקוד שלהם, להזכיר את השתתפות המתחזים שמתחזים לאנשים אחרים או תביעת עבודה עבור חברות מסוימות.

"אנו מאמינים כי קוד פתוח הוא טובת ציבור ובכל הענפים מוטלת עלינו האחריות להיפגש בכדי לשפר ולתמוך באבטחת תוכנת הקוד הפתוח שכולנו תלויים בה", אמר ג'ים זמלין, מנכ"ל קרן לינוקס.

לדוגמא, בעיות זיהוי כוללות אירוע עם תלות בספריית זרם האירועים לאחר העברת מלווה לאדם לא מאומת שאיתו פנה המנהל לשעבר רק באמצעות דוא"ל, או מקרים רבים של מכירות תוספים. ותוספות דפדפן של צד שלישי.

בסופו של דבר אם אתה רוצה לדעת יותר על זה, אתה יכול לבדוק את הפרטים בפרסום המקורי של קרן לינוקס בקישור הבא.

או גם אתה יכול לבקר באתר OpenSSF בקישור הבא.


היה הראשון להגיב

השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי לנתונים: מיגל אנחל גטון
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.