OpenSSF: projekts, kas vērsts uz atvērtā pirmkoda programmatūras drošības uzlabošanu

Linux fonds ir paziņojis par jauns projekts ar nosaukumu "OpenSSF" (Atvērtā koda drošības fonds), kas Tās galvenais mērķis ir pulcēties darbs nozares līderi atvērtā pirmkoda programmatūras drošības uzlabošanas jomā.

Ar to OpenSSF turpinās attīstīt tādas iniciatīvas kā Infrastruktūras iniciatīva un Atvērtā koda drošības koalīcija (Centrālā infrastruktūras iniciatīva un Atklātā pirmkoda drošības koalīcija) un apvienos citus ar drošību saistītus darbus, ko veic uzņēmumi, kas pievienojušies projektam.

OpenSSF dibinātāji ietver GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, OWASP Foundation un Red Hat.

Kaut arī no savas puses GitLab, HackerOne, Intel, Uber, VMware, ElevenPaths, Okta, Purdue, SAFECode, StackHawk un Bitu taka pievienojās kā dalībnieki.

La OpenSSF ir sadarbība starp nozarēm apvienojot līderus, lai uzlabotu atvērtā pirmkoda programmatūras drošību izveidojot plašāku sabiedrību, īpašas iniciatīvas un paraugprakse.

Iemesls dzimst šī projekta radīšana no mūsdienu pasaules pētījuma, kurā Atvērtā koda programmatūra ir ļoti pieprasīta daudzās nozares jomās, taču attīstības detaļu dēļ tā drošību ietekmē atkarību un attīstības dalībnieku ķēdes.

OpenSSF ir starpnozaru sadarbība, kas apvieno līderus, lai uzlabotu atvērtā pirmkoda programmatūras (OSS) drošību, veidojot plašāku kopienu ar mērķtiecīgām iniciatīvām un paraugpraksi.

Tāpēc, lai apstiprinātu atvērtā pirmkoda projektu drošību, ir svarīgi pārbaudīt ne tikai galveno kodu, bet arī atkarības, kā arī to izstrādātāju identifikācija, kuru kods ir akceptēts projektā, un uzticama autentifikācija pārskatīšanas un saistību laikā.

Turklāt drošībai nepieciešams izmantot drošas būvēšanas sistēmas un būvju verifikāciju.

Atklātā pirmkoda programmatūra ir kļuvusi plaši izplatīta datu centros, patērētāju ierīcēs un pakalpojumos, atspoguļojot tās vērtību gan tehnologu, gan uzņēmumu vidū. 

Sakarā ar tā attīstības procesu, atvērtā koda, kas galu galā sasniedz galalietotājus, dalībnieku un atkarību ķēde. Ir svarīgi, lai personas, kas atbild par jūsu lietotāja vai organizācijas drošību, varētu saprast un pārbaudīt šīs atkarības ķēdes drošību.

OpenSSF darbs būs vērsts uz jomām piemēram, koordinēta informācijas par ievainojamību atklāšana y plākstera izplatīšana, izstrādājot drošības rīkus, publicējot paraugpraksi drošas attīstības organizēšanai, identificēt ar drošību saistītus draudus atklātā pirmkoda programmatūrai, veikt revīzijas darbu un paaugstināt kritisko atklātā pirmkoda projektu drošību, izveidojot rīkus, lai pārbaudītu izstrādātāju identitāti.

Starp draudiem, ko rada izstrādātāju identifikācijas trūkums, iespēja uzbrucējam iegūt uzturētāja tiesības veikt ļaunprātīgas izmaiņas, dublēt kontus, lai pārskatītu viņu pašu kodu, minot krāpnieku piedalīšanos, uzdodoties par citiem cilvēkiem vai pieprasot darbu noteiktiem uzņēmumiem.

"Mēs uzskatām, ka atvērtais kods ir sabiedrisks labums, un visās nozarēs mums ir pienākums apvienoties, lai uzlabotu un atbalstītu atvērtā pirmkoda programmatūras drošību, no kuras mēs visi esam atkarīgi," sacīja The Linux Foundation izpilddirektors Džims Zemlins.

Piemēram, identifikācijas problēmas ietver incidentu ar atkarību no notikumu straumes bibliotēkas pēc eskorta pārsūtīšanas nepārbaudītai personai, ar kuru bijušais vadītājs sazinājās tikai pa e-pastu, vai daudzus spraudņu pārdošanas gadījumus. un trešo pušu pārlūkprogrammas papildinājumus.

Beidzot ja vēlaties uzzināt vairāk par to, sīkāku informāciju varat pārbaudīt Linux Foundation sākotnējā publikācijā Šajā saitē.

Vai arī jūs varat apmeklēt OpenSSF vietni Šajā saitē.


Esi pirmais, kas komentārus

Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti ar *

*

*

  1. Atbildīgais par datiem: Migels Ángels Gatóns
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.