最近 LinuxFoundationが発表 ブログ投稿経由 OpenSSFによるコミットメント (オープンソースセキュリティ財団) LinuxFoundationに10万ドルの資金を提供する、これはオープンソースソフトウェアのセキュリティを向上させる取り組みの一環です。
と言われています 調達された資金は、OpenSSFの親会社からの使用料によるものです。、Amazon、Cisco、Dell Technologies、Ericsson、Facebook、Fidelity、GitHub、Google、IBM、Intel、JPMorgan Chase、Microsoft、Morgan Stanley、Oracle、Red Hat、Snyk、VMwareなどが含まれます。
「この業界全体の取り組みは、ホワイトハウスが私たちの集団的なサイバーセキュリティの幸福のベースラインを引き上げるという呼びかけに応え、オープンソースコミュニティに「前払い」して、私たち全員が愛する安全なソフトウェアの作成を支援します。私たちは恩恵を受けています。」 LinuxFoundationのCEOであるJimZemlinは次のように述べています。 「私たちは、ブライアンベーレンドルフのリーダーシップと、この作業に適用される大規模なコミュニティと技術プロジェクトの構築と維持における豊富な経験を持っていることを嬉しく思います。 オープンソースソフトウェアの驚異的な成長と普及により、規模に応じたサイバーセキュリティプログラムとプラクティスを作成することが私たちの最大の課題です。」
この資金調達 業界間のコラボレーションの一部です 同じ目的の下で複数のオープンソースソフトウェアイニシアチブをまとめます オープンソースソフトウェアのサイバーセキュリティの脆弱性を特定して修正する 改善されたツール、トレーニング、調査、ベストプラクティス、および脆弱性開示プラクティスを開発します。
Como recordatorio、 OpenSSFの作業は、調整された脆弱性の開示、パッチの配布、セキュリティツールの開発、ベストプラクティスの公開などの分野に焦点を当てています。 安全な開発組織、オープンソースソフトウェアにおけるセキュリティ関連の脅威の特定、作業の監査と強化、ミッションクリティカルなオープンソースプロジェクト、開発者の身元を確認するためのツールの作成。
- セキュリティスコアカード-ソフトウェアセキュリティに関連するいくつかの重要なヒューリスティック(「チェック」)を評価する完全に自動化されたツール。
- ベストプラクティスバッジ-OSSプロジェクトがバッジを通じてフォローしていることを示す方法を提供する、より高品質の安全なソフトウェアを作成するためのコアインフラストラクチャイニシアチブの一連のベストプラクティス。
- セキュリティポリシー:Allstarはセットを提供し、リポジトリまたは組織にセキュリティポリシーを適用します。
- フレームワーク: ソフトウェアアーティファクトサプライチェーンレベル(SLSA)は、ソフトウェアサプライチェーンの整合性のレベルを上げるためのセキュリティフレームワークを提供します。
- トレーニング-安全なソフトウェアを開発する方法についてコミュニティメンバーを教育する、安全なソフトウェア開発の基礎に関する無料コース
- 脆弱性の開示:OSSプロジェクトの調整された脆弱性開示のガイド
- パケット分析: OSSパッケージで悪意のあるソフトウェアを検索する
- セキュリティチェック-OSSセキュリティパッチの公開コレクション
- 研究-ハーバードイノベーションサイエンス研究所(LISH)と協力して実施されたオープンソースソフトウェアと重大なセキュリティの脆弱性に関する調査(たとえば、予備調査やFOSSコントリビューター調査)
La OpenSSFは、中央インフラストラクチャイニシアチブやオープンソースセキュリティ連合などのイニシアチブに基づいて構築を続けています プロジェクトに参加している企業が行っている他のセキュリティ関連の作業をまとめます。
オープンソースセキュリティ財団のCEOであるブライアンベーレンドルフは、次のように述べています。 「ソフトウェアのサプライチェーンを保護するための魔法の公式はありません。 調査、トレーニング、ベストプラクティス、ツール、およびコラボレーションには、コミュニティ全体の何千もの重要な頭脳の集合的な力が必要です。 OpenSSFの資金提供により、この作業を行うためのフォーラムとリソースが提供されます。
最後に あなたがそれについてもっと知りたいのなら、 元の出版物はで確認できます 次のリンク。