„Linux Foundation“ paskelbė apie jos įkūrimą vadinamas naujas projektas „OpenSSF“ (Atvirojo kodo saugumo fondas), kuris Pagrindinis jo tikslas yra surinkti darbas pramonės lyderiai atvirojo kodo programinės įrangos saugumo stiprinimo srityje.
Su juo „OpenSSF“ toliau plėtos tokias iniciatyvas kaip infrastruktūros iniciatyva ir atvirojo kodo saugumo koalicija (Centrinės infrastruktūros iniciatyva ir Atvirojo kodo saugumo koalicija) ir apims kitą su saugumu susijusį darbą, kurį atlieka prie projekto prisijungusios įmonės.
„OpenSSF“ steigėjai įtraukti „GitHub“, „Google“, IBM, „JPMorgan Chase“, „Microsoft“, „NCC Group“, „OWASP Foundation“ ir „Red Hat“.
Nors iš savo pusės „GitLab“, „HackerOne“, „Intel“, „Uber“, „VMware“, „ElevenPaths“, „Okta“, „Purdue“, „SAFECode“, „StackHawk“ ir „Bits Trail“ prisijungė kaip dalyviai.
La „OpenSSF“ yra pramonės bendradarbiavimas suburti lyderius siekiant pagerinti atvirojo kodo programinės įrangos saugumą kuriant platesnę bendruomenę, konkrečias iniciatyvas ir geriausia praktika.
Priežastis gimsta šio projekto kūrimas iš šiuolaikinio pasaulio, kuriame Atvirojo kodo programinė įranga yra labai paklausi daugelyje pramonės sričių, tačiau dėl vystymosi detalių jo saugumui įtakos turi priklausomybių ir plėtros dalyvių grandinės.
„OpenSSF“ yra tarpšakinis bendradarbiavimas, suburiantis lyderius, siekiant pagerinti atvirojo kodo programinės įrangos (OSS) saugumą, kuriant platesnę bendruomenę su tikslinėmis iniciatyvomis ir geriausia praktika.
Todėl patvirtinti atvirojo kodo projektų saugumą, svarbu patikrinti ne tik pagrindinį kodą, bet ir priklausomybes, taip pat kūrėjų, kurių kodas priimamas projekte, identifikavimas ir patikimas autentifikavimas peržiūros ir įsipareigojimo metu.
Be to, saugumui reikia naudoti saugias kūrimo sistemas ir versijos patikrinimą.
Atvirojo kodo programinė įranga tapo plačiai paplitusi duomenų centruose, vartotojų įrenginiuose ir paslaugose, atspindėdama jos vertę tiek tarp technologų, tiek iš verslo.
Dėl savo plėtros proceso atvirasis šaltinis, galiausiai pasiekiantis galutinius vartotojus, turi prisidedančiųjų ir priklausomybių grandinę. Svarbu, kad už jūsų vartotojo ar organizacijos saugumą atsakingi asmenys galėtų suprasti ir patikrinti šios priklausomybės grandinės saugumą.
„OpenSSF“ darbas bus sutelktas į sritis toks kaip suderintas informacijos apie pažeidžiamumą atskleidimas y pleistro paskirstymas, kuriant saugumo priemones, skelbiant geriausios saugios plėtros organizavimo patirties pavyzdžius, nustatyti su saugumu susijusias grėsmes atvirojo kodo programinei įrangai, atlikti audito darbus ir padidinti kritinių atvirojo kodo projektų saugumą, sukurdami įrankius, skirtus patikrinti kūrėjų tapatybę.
Tarp grėsmių, kurias sukelia nepakankamas kūrėjų identifikavimas, užpuoliko galimybė gauti palaikytojo teises atlikti kenkėjiškus pakeitimus, kopijuoti paskyras, kad būtų galima peržiūrėti savo kodą, paminėti apsimetėlių, apsimetančių kitais žmonėmis ar reikalaujančių darbo tam tikrose įmonėse, dalyvavimas.
„Mes tikime, kad atvirasis šaltinis yra viešoji gėrybė ir visose pramonės šakose esame atsakingi už tai, kad pagerintume ir palaikytume atvirojo kodo programinės įrangos, nuo kurios visi esame priklausomi, saugumą“, - sakė „The Linux Foundation“ generalinis direktorius Jimas Zemlinas.
Pavyzdžiui, identifikavimo problemos apima įvykį, priklausantį nuo įvykių srauto bibliotekos, perkeliant palydą nepatikrintam asmeniui, su kuriuo buvęs vadovas susisiekė tik el. Paštu, arba daugybę papildinių pardavimo ir trečiųjų šalių naršyklės priedų atvejų.
Pagaliau jei norite apie tai daugiau sužinoti, išsamią informaciją galite patikrinti pradiniame „Linux Foundation“ leidinyje Šioje nuorodoje.
Arba taip pat galite apsilankyti „OpenSSF“ svetainėje Šioje nuorodoje.