Linux Foundation telah mengumumkan pembentukan projek baru yang dipanggil "OpenSSF" (Open Source Security Foundation) yang Objektif utamanya adalah untuk berkumpul karya dari peneraju industri dalam bidang peningkatan keselamatan perisian sumber terbuka.
Dengan itu OpenSSF akan terus mengembangkan inisiatif seperti Inisiatif Infrastruktur dan Gabungan Keselamatan Sumber Terbuka (Inisiatif Infrastruktur Pusat dan Gabungan Keselamatan Sumber Terbuka) dan akan menyatukan kerja-kerja lain yang berkaitan dengan keselamatan yang dilakukan oleh syarikat-syarikat yang telah menyertai projek ini.
Ahli pengasas OpenSSF termasuk GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, OWASP Foundation, dan Red Hat.
Manakala bagi pihaknya GitLab, HackerOne, Intel, Uber, VMware, ElevenPaths, Okta, Purdue, SAFECode, StackHawk, dan Trail of Bits bergabung sebagai peserta.
La OpenSSF adalah kerjasama antara industri menyatukan para pemimpin untuk meningkatkan keselamatan perisian sumber terbuka dengan mewujudkan komuniti yang lebih luas, inisiatif khusus dan amalan terbaik.
Alasan untuk lahirnya projek ini dari kajian dunia moden di mana Perisian sumber terbuka mendapat permintaan tinggi di banyak bidang industri, tetapi kerana spesifik pembangunan, keamanannya dipengaruhi oleh rantai kebergantungan dan peserta pembangunan.
OpenSSF adalah kolaborasi lintas industri yang menyatukan para pemimpin untuk meningkatkan keselamatan perisian sumber terbuka (OSS) dengan membina komuniti yang lebih luas dengan inisiatif dan amalan terbaik yang disasarkan.
Oleh itu, untuk mengesahkan keselamatan projek sumber terbuka, penting untuk memeriksa bukan sahaja kod utama, tetapi juga pergantungan, serta pengenalan pemaju yang kodnya diterima dalam projek dan pengesahan yang boleh dipercayai semasa tinjauan dan komitmen.
Di samping itu, keselamatan memerlukan penggunaan sistem binaan selamat dan pengesahan binaan.
Perisian sumber terbuka telah tersebar luas di pusat data, peranti pengguna, dan perkhidmatan, yang mewakili nilainya di kalangan ahli teknologi dan perniagaan.
Oleh kerana proses pengembangannya, sumber terbuka yang akhirnya menjangkau pengguna akhir mempunyai rangkaian penyumbang dan pergantungan. Penting bagi mereka yang bertanggungjawab terhadap keselamatan pengguna atau organisasi anda untuk memahami dan mengesahkan keselamatan rantai kebergantungan ini.
Kerja OpenSSF akan memberi tumpuan kepada bidang seperti pendedahan maklumat kerentanan yang diselaraskan y pembahagian tampalan, mengembangkan alat untuk keselamatan, menerbitkan amalan terbaik untuk organisasi pembangunan yang selamat, mengenal pasti ancaman berkaitan keselamatan terhadap perisian sumber terbuka, melaksanakan kerja Audit dan meningkatkan keselamatan projek sumber terbuka yang kritikal, membuat alat untuk mengesahkan identiti pemaju.
Di antara ancaman yang disebabkan oleh kurangnya pengenalpastian pembangun, disebutkan mengenai kemungkinan bahawa penyerang dapat memperoleh hak penyelenggara untuk membuat perubahan berbahaya, pendua akaun untuk menyemak kod mereka sendiri, penyertaan penyamar yang kelihatan seperti orang lain atau disebut menuntut pekerjaan untuk syarikat tertentu.
"Kami percaya bahawa sumber terbuka adalah kebaikan awam dan di semua industri, kita mempunyai tanggungjawab untuk bersama-sama meningkatkan dan menyokong keselamatan perisian sumber terbuka yang kita semua bergantung," kata Jim Zemlin, CEO The Linux Foundation.
Contohnya, masalah pengenalpastian merangkumi kejadian dengan pergantungan pada pustaka aliran acara setelah memindahkan pengawalan kepada orang yang tidak disahkan yang dihubungi oleh bekas pengurus hanya melalui e-mel, atau banyak kes penjualan pemalam dan pengaya penyemak imbas pihak ketiga .
Akhirnya jika anda ingin mengetahui lebih lanjut mengenainya, anda boleh menyemak perinciannya dalam penerbitan asal Linux Foundation Dalam pautan berikut.
Atau juga anda boleh melayari laman web OpenSSF Dalam pautan berikut.