nylig Linux Foundation avduket via et blogginnlegg forpliktelse fra OpenSSF (Open Source Security Foundation) å finansiere Linux Foundation med $ 10 millioner, dette som en del av et forsøk på å forbedre sikkerheten til åpen kildekode -programvare.
Det nevnes det Midlene som samles inn er gjennom royalties fra OpenSSF -morselskaper, inkludert Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, Google, IBM, Intel, JPMorgan Chase, Microsoft, Morgan Stanley, Oracle, Red Hat, Snyk og VMware.
"Denne forpliktelsen i hele bransjen reagerer på Det hvite huss oppfordring om å heve grunnlinjen for vårt kollektive cybersikkerhetsvelferd, i tillegg til å" betale fremover "til åpen kildekode-fellesskap for å hjelpe dem med å lage sikker programvare som vi alle elsker. Vi har godt av," sa Jim Zemlin, administrerende direktør i Linux Foundation. “Vi er glade for å ha Brian Behlendorfs ledelse og omfattende erfaring med å bygge og vedlikeholde store lokalsamfunn og tekniske prosjekter som brukes på dette arbeidet. Med den enorme veksten og utbredelsen av åpen kildekode -programvare, er det å lage programmer og praksis for cybersikkerhet vår største oppgave. "
Denne finansieringen er en del av et samarbeid mellom næringer som samler flere programvareinitiativer med åpen kildekode under samme formål å identifisere og korrigere sikkerhetsproblemer i cybersikkerhet i programvare med åpen kildekode og utvikle forbedrede verktøy, opplæring, forskning, beste praksis og avsløringspraksis for sårbarheter.
Som en påminnelse, OpenSSFs arbeid fokuserer på områder som koordinert avsløring av sårbarheter, distribusjon av oppdateringer, utvikling av sikkerhetsverktøy, publisering av beste praksis for sikker utviklingsorganisasjon, identifisering av sikkerhetsrelaterte trusler i åpen kildekode-programvare, revisjon og styrking av arbeid, misjonskritiske åpen kildekode-prosjekter, opprettelse av verktøy for å verifisere utviklernes identitet.
- Sikkerhetskort- Et helautomatisk verktøy som evaluerer en rekke viktige heuristikker ("sjekker") knyttet til programvaresikkerhet.
- Merke om beste praksis- Et sett med beste praksis fra Core Infrastructure Initiative for å produsere sikker programvare av høyere kvalitet som gir en måte for OSS -prosjekter å demonstrere gjennom merker at de følger dem.
- Sikkerhetspolitikk: Allstar gir et sett og håndhever sikkerhetspolicyer i depoter eller organisasjoner.
- Framework: Software Artifact Supply Chain Levels (SLSA) gir et sikkerhetsrammeverk for å øke integriteten til programvarens forsyningskjede.
- trening- Gratis kurs om grunnleggende grunnleggende utvikling av programvare som utdanner medlemmer i samfunnet om hvordan de skal utvikle sikker programvare
- Sårbarhetsinformasjon: En guide til avsløring av samordnet sårbarhet for OSS -prosjekter
- Pakkeanalyse: søk etter skadelig programvare i OSS -pakker
- Sikkerhetskontroller- Offentlig samling av OSS -sikkerhetsoppdateringer
- Forskning- Studier av åpen kildekode -programvare og kritiske sikkerhetsproblemer utført i samarbeid med Harvard Laboratory for Innovation Sciences (LISH) (for eksempel en foreløpig folketelling og en FOSS Contributor Survey)
La OpenSSF fortsetter å bygge videre på initiativer som Central Infrastructure Initiative og Open Source Security Coalition og samler annet sikkerhetsrelatert arbeid som utføres av selskaper som har sluttet seg til prosjektet.
"Det har aldri vært en mer spennende tid å jobbe i open source -samfunnet, og programvaresikkerhetskjede -sikkerhet har aldri trengt mer oppmerksomhet," sa Brian Behlendorf, administrerende direktør i Open Source Security Foundation. "Det er ingen magisk formel for å sikre programvareforsyningskjeder. Forskning, opplæring, beste praksis, verktøy og samarbeid krever den kollektive kraften til tusenvis av kritiske sinn i hele samfunnet vårt. OpenSSF -finansiering gir oss forum og ressurser til å gjøre dette arbeidet.
Endelig hvis du er interessert i å vite mer om det, du kan sjekke den originale publikasjonen i følgende lenke.