Linux Foundationは、 と呼ばれる新しいプロジェクト 「OpenSSF」 (オープンソースセキュリティ財団) その主な目的は収集することです の仕事 オープンソースソフトウェアのセキュリティ強化の分野における業界リーダー。
それでOpenSSF インフラストラクチャイニシアチブやオープンソースセキュリティ連合などのイニシアチブを引き続き開発します (中央インフラストラクチャイニシアチブとオープンソースセキュリティ連合)そして、プロジェクトに参加している企業によって実行されている他のセキュリティ関連の作業をまとめます。
OpenSSFの創設メンバー incluyen GitHub、Google、IBM、JPMorgan Chase、Microsoft、NCC Group、OWASP Foundation、およびRedHat。
彼の部分のために GitLab、HackerOne、Intel、Uber、VMware、ElevenPaths、Okta、Purdue、SAFECode、StackHawk、Trail of Bits 参加者として参加しました。
La OpenSSFは業界間のコラボレーションです リーダーを集めてオープンソースソフトウェアのセキュリティを向上させる より広いコミュニティを作成することにより、 特定のイニシアチブ とベストプラクティス。
の理由 このプロジェクトの作成が生まれます 現代世界の研究から オープンソースソフトウェアは、業界の多くの分野で高い需要があります、ただし、開発の詳細により、そのセキュリティは依存関係のチェーンと開発参加者の影響を受けます。
OpenSSFは、ターゲットを絞ったイニシアチブとベストプラクティスを備えたより広範なコミュニティを構築することにより、リーダーを集めてオープンソースソフトウェア(OSS)のセキュリティを向上させる業界間のコラボレーションです。
そのため、 オープンソースプロジェクトのセキュリティを確認する, メインコードだけでなく、依存関係もチェックすることが重要です。 また、プロジェクトでコードが受け入れられた開発者の識別、およびレビューとコミットメント中の信頼できる認証。
さらに、セキュリティには、安全なビルドシステムとビルド検証の使用が必要です。
オープンソースソフトウェアは、データセンター、消費者向けデバイス、およびサービスで広く普及しており、技術者や企業の間でその価値を表しています。
その開発プロセスにより、最終的にエンドユーザーに到達するオープンソースには、一連の貢献者と依存関係があります。 ユーザーまたは組織のセキュリティの責任者が、この依存関係のチェーンのセキュリティを理解および検証できることが重要です。
OpenSSFの作業は領域に焦点を当てます などの 脆弱性情報の調整された開示 y パッチ配布、セキュリティのためのツールの開発、安全な開発組織のためのベストプラクティスの公開、 オープンソースソフトウェアに対するセキュリティ関連の脅威を特定し、 監査作業を実行し、重要なオープンソースプロジェクトのセキュリティを強化して、開発者の身元を確認するためのツールを作成します。
開発者の身元確認の欠如によって引き起こされる脅威の中で、攻撃者が悪意のある変更を行うためのメンテナ権限を取得する可能性、自分のコードを確認するためのアカウントの複製、他人を装った詐欺師の参加などが言及されています。特定の会社のために仕事を主張する。
LinuxFoundationのCEOであるJimZemlinは、次のように述べています。「オープンソースは公共の利益であり、すべての業界で、私たち全員が依存するオープンソースソフトウェアのセキュリティを改善およびサポートするために協力する責任があります。
たとえば、識別の問題には、元マネージャーがメールでのみ連絡した未確認の人物にエスコートを転送した後、イベントストリームライブラリに依存するインシデントや、プラグイン販売の多数のケースが含まれます。およびサードパーティのブラウザアドオン。
最後に あなたがそれについてもっと知りたいのなら、 LinuxFoundationの元の出版物で詳細を確認できます 次のリンクで。
またはまた OpenSSFのWebサイトにアクセスできます 次のリンクで。