Neseniai buvo pristatytas „Linux Foundation“ per tinklaraščio įrašą „OpenSSF“ įsipareigojimą (Atviro kodo saugumo fondas) finansuoti „Linux Foundation“ 10 mln, tai yra dalis pastangų pagerinti atvirojo kodo programinės įrangos saugumą.
Minima, kad Lėšos surinktos per „OpenSSF“ patronuojančių bendrovių autorinius atlyginimus, įskaitant „Amazon“, „Cisco“, „Dell Technologies“, „Ericsson“, „Facebook“, „Fidelity“, „GitHub“, „Google“, IBM, „Intel“, „JPMorgan Chase“, „Microsoft“, „Morgan Stanley“, „Oracle“, „Red Hat“, „Snyk“ ir „VMware“.
„Šis visos pramonės įsipareigojimas atitinka Baltųjų rūmų raginimą pakelti mūsų bendros kibernetinio saugumo gerovės pagrindą, taip pat„ mokėti į priekį “atviro kodo bendruomenėms, kad padėtų joms sukurti saugią programinę įrangą, kuri mums visiems patinka. sakė „Linux Foundation“ generalinis direktorius Jimas Zemlinas. „Džiaugiamės turėdami vadovavimą Brianui Behlendorfui ir didelę patirtį kuriant ir prižiūrint dideles bendruomenes bei šiam darbui taikomus techninius projektus. Didėjant atviro kodo programinės įrangos augimui ir paplitimui, didžiausia mūsų užduotis yra sukurti tokio masto kibernetinio saugumo programas ir praktiką “.
Šis finansavimas yra pramonės šakų bendradarbiavimo dalis kuri sujungia kelias atviro kodo programinės įrangos iniciatyvas tuo pačiu tikslu nustatyti ir ištaisyti kibernetinio saugumo pažeidžiamumą atvirojo kodo programinėje įrangoje ir kurti patobulintas priemones, mokymus, tyrimus, geriausią praktiką ir pažeidžiamumo atskleidimo praktiką.
Kaip priminėjas, „OpenSSF“ darbas sutelktas į tokias sritis kaip koordinuotas pažeidžiamumo atskleidimas, pataisų platinimas, saugos įrankių kūrimas, geriausios praktikos skelbimas saugiam kūrimo organizavimui, su saugumu susijusių grėsmių identifikavimui atvirojo kodo programinėje įrangoje, auditui ir stiprinimo darbui, svarbiems misijai atviro kodo projektams, įrankių kūrėjams tapatybei patikrinti sukūrimui.
- Saugos rezultatų kortelė- Visiškai automatizuotas įrankis, įvertinantis daugybę svarbių euristikos („patikrinimų“), susijusių su programinės įrangos saugumu.
- Geriausios praktikos ženklelis- Pagrindinės infrastruktūros iniciatyvos geriausios praktikos rinkinys, skirtas aukštos kokybės saugiai programinei įrangai gaminti, kuri suteikia galimybę OSS projektams parodyti ženklelius, kad jie jų laikosi.
- Saugumo politika: „Allstar“ pateikia rinkinį ir vykdo saugos politiką saugyklose ar organizacijose.
- Sistema: Programinės įrangos artefaktų tiekimo grandinės lygiai (SLSA) yra saugumo sistema, padedanti padidinti programinės įrangos tiekimo grandinės vientisumą.
- Mokymas- Nemokami kursai apie saugią programinės įrangos kūrimo pagrindus, mokantys bendruomenės narius, kaip kurti saugią programinę įrangą
- Atskleidimas apie pažeidžiamumą: Suderinto OSS projektų pažeidžiamumo atskleidimo vadovas
- Paketų analizė: ieškoti kenkėjiškos programinės įrangos OSS paketuose
- Saugumo patikrinimai- Vieša OSS saugos pataisų kolekcija
- Tyrimas- Atviro kodo programinės įrangos ir svarbių saugumo pažeidimų tyrimai, atlikti kartu su Harvardo inovacijų mokslų laboratorija (LISH) (pavyzdžiui, preliminarus surašymas ir FOSS bendraautorių apklausa)
La „OpenSSF“ ir toliau remiasi tokiomis iniciatyvomis kaip Centrinės infrastruktūros iniciatyva ir Atvirojo kodo saugumo koalicija ir sujungia kitus su saugumu susijusius darbus, kuriuos atlieka prie projekto prisijungusios įmonės.
„Dar niekada nebuvo įdomesnio laiko dirbti atvirojo kodo bendruomenėje, o programinės įrangos tiekimo grandinės saugumui niekada nereikėjo daugiau mūsų dėmesio“, - sakė „Open Source Security Foundation“ generalinis direktorius Brianas Behlendorfas. „Nėra stebuklingos programinės įrangos tiekimo grandinių apsaugos formulės. Tyrimams, mokymams, geriausiajai praktikai, įrankiams ir bendradarbiavimui reikalinga kolektyvinė tūkstančių kritiškai nusiteikusių žmonių galia visoje mūsų bendruomenėje. „OpenSSF“ finansavimas suteikia mums forumą ir išteklių šiam darbui atlikti.
Pagaliau jei norite sužinoti daugiau apie tai, galite patikrinti originalų leidinį šią nuorodą.