OpenSSF: projekt skupiony na poprawie bezpieczeństwa oprogramowania open source

Linux Foundation ogłosiła powstanie nowy projekt o nazwie „OpenSSF” (Open Source Security Foundation) która Jego głównym celem jest zbieranie praca liderzy branży w dziedzinie poprawy bezpieczeństwa oprogramowania typu open source.

Dzięki temu OpenSSF będzie nadal rozwijać inicjatywy, takie jak Inicjatywa Infrastrukturalna i Koalicja Bezpieczeństwa Otwartego Oprogramowania (Central Infrastructure Initiative i Open Source Security Coalition) i połączy inne prace związane z bezpieczeństwem prowadzone przez firmy, które przystąpiły do ​​projektu.

Członkowie założyciele OpenSSF incluyen GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, OWASP Foundation i Red Hat.

Chociaż ze swojej strony GitLab, HackerOne, Intel, Uber, VMware, ElevenPaths, Okta, Purdue, SAFECode, StackHawk i Trail of Bits dołączyli jako uczestnicy.

La OpenSSF to współpraca między branżami gromadzenie liderów w celu poprawy bezpieczeństwa oprogramowania open source tworząc szerszą społeczność, konkretne inicjatywy i najlepsze praktyki.

Powód dla rodzi się powstanie tego projektu z badania współczesnego świata, w którym Oprogramowanie typu open source cieszy się dużym zainteresowaniem w wielu obszarach przemysłu, ale ze względu na szczegóły rozwoju, na jego bezpieczeństwo wpływają łańcuchy zależności i uczestnicy rozwoju.

OpenSSF to międzybranżowa współpraca skupiająca liderów w celu poprawy bezpieczeństwa oprogramowania open source (OSS) poprzez budowanie szerszej społeczności z ukierunkowanymi inicjatywami i najlepszymi praktykami.

Dlatego aby potwierdzić bezpieczeństwo projektów open source, ważne jest, aby sprawdzić nie tylko główny kod, ale także zależności, a także identyfikację deweloperów, których kod jest zaakceptowany w projekcie oraz rzetelne uwierzytelnienie podczas przeglądu i zobowiązania.

Ponadto bezpieczeństwo wymaga korzystania z bezpiecznych systemów kompilacji i weryfikacji kompilacji.

Oprogramowanie open source stało się powszechne w centrach danych, urządzeniach konsumenckich i usługach, stanowiąc jego wartość zarówno wśród technologów, jak i przedsiębiorstw. 

Ze względu na proces rozwoju oprogramowanie open source, które ostatecznie dociera do użytkowników końcowych, ma łańcuch współpracowników i zależności. Ważne jest, aby osoby odpowiedzialne za bezpieczeństwo użytkownika lub organizacji rozumiały i weryfikowały bezpieczeństwo tego łańcucha zależności.

Praca OpenSSF będzie koncentrować się na obszarach tak jak skoordynowane ujawnianie informacji o lukach y dystrybucja poprawek, rozwijanie narzędzi bezpieczeństwa, publikowanie najlepszych praktyk dla bezpiecznej organizacji rozwoju, identyfikować zagrożenia związane z bezpieczeństwem oprogramowania open source, wykonywać prace audytowe i zwiększać bezpieczeństwo krytycznych projektów open source, tworząc narzędzia do weryfikacji tożsamości deweloperów.

Wśród zagrożeń spowodowanych brakiem identyfikacji twórców jest możliwość uzyskania przez napastnika praw opiekuna do dokonywania złośliwych zmian, duplikowanie kont w celu przeglądu własnego kodu, wspominanie o udziale oszustów podszywających się pod inne osoby lub przejmujących prace dla niektórych firm.

„Wierzymy, że open source jest dobrem publicznym i we wszystkich branżach mamy obowiązek współpracować w celu poprawy i wspierania bezpieczeństwa oprogramowania open source, na którym wszyscy polegamy” - powiedział Jim Zemlin, dyrektor generalny The Linux Foundation.

Na przykład problemy z identyfikacją obejmują incydent z zależnością od biblioteki strumienia zdarzeń po przesłaniu eskorty do niezweryfikowanej osoby, z którą były menedżer kontaktował się tylko za pośrednictwem poczty e-mail, lub liczne przypadki sprzedaży wtyczek i dodatków przeglądarki stron trzecich.

W końcu jeśli chcesz dowiedzieć się więcej na ten temat, możesz sprawdzić szczegóły w oryginalnej publikacji Linux Foundation W poniższym linku.

Albo też możesz odwiedzić witrynę OpenSSF W poniższym linku.


Bądź pierwszym który skomentuje

Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.