리눅스 재단은 라는 새로운 프로젝트 "OpenSSF" (오픈 소스 보안 재단) 주요 목적은 의 작품 오픈 소스 소프트웨어 보안 강화 분야의 업계 리더.
그것으로 OpenSSF 인프라 이니셔티브 및 오픈 소스 보안 연합과 같은 이니셔티브를 계속 개발할 것입니다. (중앙 인프라 이니셔티브 및 오픈 소스 보안 연합) 프로젝트에 참여한 회사가 수행하는 다른 보안 관련 작업을한데 모을 것입니다.
OpenSSF 창립 멤버 포함하다 GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, OWASP Foundation 및 Red Hat.
그의 부분을 위해 GitLab, HackerOne, Intel, Uber, VMware, ElevenPaths, Okta, Purdue, SAFECode, StackHawk 및 Trail of Bits 참가자로 참여했습니다.
La OpenSSF는 산업 간의 협력입니다. 리더를 모아 오픈 소스 소프트웨어의 보안을 개선합니다. 더 넓은 커뮤니티를 만들어 특정 이니셔티브 및 모범 사례.
대한 이유 이 프로젝트의 창조가 탄생했습니다 현대 세계에 대한 연구에서 오픈 소스 소프트웨어는 업계의 많은 분야에서 수요가 높습니다., 그러나 개발의 특성으로 인해 보안은 종속성 체인 및 개발 참여자의 영향을받습니다.
OpenSSF는 업계 간 협력으로 리더를한데 모아 대상 이니셔티브와 모범 사례로 더 광범위한 커뮤니티를 구축하여 오픈 소스 소프트웨어 (OSS)의 보안을 개선합니다.
따라서, 오픈 소스 프로젝트의 보안을 확인하기 위해, 메인 코드뿐만 아니라 종속성도 확인하는 것이 중요합니다. 또한 프로젝트에서 코드가 승인 된 개발자의 식별과 검토 및 약정 과정에서 신뢰할 수있는 인증을 제공합니다.
또한 보안을 위해서는 보안 빌드 시스템과 빌드 검증을 사용해야합니다.
오픈 소스 소프트웨어는 데이터 센터, 소비자 장치 및 서비스에 널리 보급되어 기술 전문가와 기업 모두에게 그 가치를 나타냅니다.
개발 프로세스로 인해 최종 사용자에게 도달하는 오픈 소스에는 기여자와 종속성의 체인이 있습니다. 사용자 또는 조직의 보안을 담당하는 사람들이이 종속성 체인의 보안을 이해하고 확인할 수 있어야합니다.
OpenSSF의 작업은 영역에 초점을 맞출 것입니다. 와 같은 취약성 정보의 조정 된 공개 y 패치 배포, 보안 도구 개발, 보안 개발 조직의 모범 사례 게시, 오픈 소스 소프트웨어에 대한 보안 관련 위협 식별 감사 작업을 수행하고 중요한 오픈 소스 프로젝트의 보안을 강화하여 개발자의 신원을 확인하는 도구를 만듭니다.
개발자 식별 부족으로 인한 위협 중 공격자가 악의적 인 변경을 할 수있는 관리자 권한, 자신의 코드를 검토하기위한 중복 계정, 다른 사람으로 가장 한 사기꾼의 참여 등이 언급 될 가능성이 언급됩니다. 특정 회사에 대한 일을 주장합니다.
Linux Foundation의 CEO 인 Jim Zemlin은 "우리는 오픈 소스가 공익이라고 믿으며 모든 산업에서 우리 모두가 의존하는 오픈 소스 소프트웨어의 보안을 개선하고 지원하기 위해 협력 할 책임이 있습니다."라고 말했습니다.
예를 들어, 식별 문제에는 전직 관리자가 이메일로만 연락 한 확인되지 않은 사람에게 에스코트를 전달한 후 이벤트 스트림 라이브러리에 의존하는 사건 또는 수많은 플러그인 판매 사례가 포함됩니다. 및 타사 브라우저 추가 기능.
최종적으로 그것에 대해 더 알고 싶다면 자세한 내용은 Linux Foundation의 원본 출판물에서 확인할 수 있습니다. 다음 링크에서.
또는 OpenSSF 웹 사이트를 방문 할 수 있습니다. 다음 링크에서.