Linux Foundation har kunngjort dannelsen av et nytt prosjekt kalt "OpenSSF" (Open Source Security Foundation) som Hovedmålet er å samles arbeidet til bransjeledere innen forbedring av sikkerhetsprogramvare med åpen kildekode.
Med det OpenSSF vil fortsette å utvikle initiativer som Infrastructure Initiative og Open Source Security Coalition (Central Infrastructure Initiative og Open Source Security Coalition) og vil samle annet sikkerhetsrelatert arbeid som utføres av selskaper som har sluttet seg til prosjektet.
Grunnleggerne av OpenSSF de omfatter GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, OWASP Foundation og Red Hat.
Mens for sin del GitLab, HackerOne, Intel, Uber, VMware, ElevenPaths, Okta, Purdue, SAFECode, StackHawk og Trail of Bits ble med som deltakere.
La OpenSSF er et samarbeid mellom bransjer samle ledere for å forbedre sikkerheten til programvare med åpen kildekode ved å skape et bredere samfunn, spesifikke tiltak og beste praksis.
Grunnen til etableringen av dette prosjektet er født fra studiet av den moderne verden der Programvare med åpen kildekode er svært etterspurt i mange områder av bransjen, men på grunn av detaljene i utviklingen, påvirkes sikkerheten av kjeder av avhengigheter og utviklingsdeltakere.
OpenSSF er et samarbeid mellom bransjer som samler ledere for å forbedre sikkerheten til åpen kildekode-programvare (OSS) ved å bygge et bredere samfunn med målrettede initiativer og beste praksis.
Derfor, for å bekrefte sikkerheten til open source-prosjekter, det er viktig å sjekke ikke bare hovedkoden, men også avhengighetene, samt identifikasjon av utviklerne hvis kode er akseptert i prosjektet og pålitelig autentisering under gjennomgangen og forpliktelsen.
I tillegg krever sikkerhet bruk av sikre byggesystemer og byggeverifisering.
Programvare med åpen kildekode har blitt utbredt i datasentre, forbrukerenheter og tjenester, og representerer verdien blant teknologer og bedrifter.
På grunn av utviklingsprosessen har åpen kildekode som til slutt når sluttbrukerne en kjede av bidragsytere og avhengigheter. Det er viktig at de som er ansvarlige for sikkerheten til brukeren eller organisasjonen din, kan forstå og verifisere sikkerheten til denne kjeden av avhengighet.
OpenSSFs arbeid vil fokusere på områder slik som koordinert avsløring av sårbarhetsinformasjon y patch distribusjonutvikle verktøy for sikkerhet, publisere beste praksis for sikker utviklingsorganisasjon, identifisere sikkerhetsrelaterte trusler mot programvare med åpen kildekode, utføre revisjonsarbeid og øke sikkerheten til kritiske open source-prosjekter, og skape verktøy for å verifisere identiteten til utviklere.
Blant truslene forårsaket av manglende identifisering av utviklerne nevnes muligheten for at en angriper kan få vedlikeholdsrettigheter til å gjøre ondsinnede endringer, duplisere kontoer for å gjennomgå sin egen kode, deltakelse av bedragerne som utgjør andre mennesker eller er nevnt hevder arbeid for visse selskaper.
"Vi mener at åpen kildekode er et offentlig gode, og i alle bransjer har vi et ansvar for å komme sammen for å forbedre og støtte sikkerheten til åpen kildekode-programvare som vi alle er avhengige av," sa Jim Zemlin, administrerende direktør i The Linux Foundation.
Identifikasjonsproblemer inkluderer for eksempel en hendelse med avhengighet av hendelsesstrømbiblioteket etter overføring av en eskorte til en ubekreftet person som bare ble kontaktet av den tidligere lederen via e-post, eller flere tilfeller av plugin-salg og tredjeparts nettlesertillegg. .
Endelig hvis du vil vite mer om det, du kan sjekke detaljene i den opprinnelige publikasjonen til Linux Foundation I den følgende lenken.
Eller også du kan besøke OpenSSF-nettstedet I den følgende lenken.