Faz pouco a Linux Foundation revelou por meio de uma postagem no blog compromisso com o OpenSSF (Fundação de Segurança de Código Aberto) para financiar a Linux Foundation com $ 10 milhões, isso como parte de um esforço para melhorar a segurança do software de código aberto.
É mencionado que os fundos arrecadados são por meio de royalties das empresas-mãe do OpenSSF, incluindo Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, Google, IBM, Intel, JPMorgan Chase, Microsoft, Morgan Stanley, Oracle, Red Hat, Snyk e VMware.
“Este compromisso de toda a indústria atende ao apelo da Casa Branca para elevar a linha de base para o nosso bem-estar coletivo de segurança cibernética, bem como 'pagar adiante' às comunidades de código aberto para ajudá-las a criar um software seguro que todos nós amamos. Nós nos beneficiamos,” disse Jim Zemlin, CEO da Linux Foundation. “Estamos satisfeitos por contar com a liderança e ampla experiência de Brian Behlendorf na construção e manutenção de grandes comunidades e projetos técnicos aplicados a este trabalho. Com o tremendo crescimento e difusão do software de código aberto, a criação de programas e práticas de segurança cibernética em escala é nossa maior tarefa. "
Este financiamento faz parte de uma colaboração entre indústrias que reúne várias iniciativas de software de código aberto com o mesmo propósito para identificar e corrigir vulnerabilidades de segurança cibernética em software de código aberto e desenvolver ferramentas aprimoradas, treinamento, pesquisa, práticas recomendadas e práticas de divulgação de vulnerabilidade.
Como um lembrete, O trabalho do OpenSSF se concentra em áreas como divulgação coordenada de vulnerabilidades, distribuição de patches, desenvolvimento de ferramentas de segurança, publicação de melhores práticas para organização de desenvolvimento seguro, identificação de ameaças relacionadas à segurança em software de código aberto, trabalho de auditoria e fortalecimento, projetos de código aberto de missão crítica, criação de ferramentas para verificar a identidade de desenvolvedores.
- Scorecard de Segurança- Uma ferramenta totalmente automatizada que avalia uma série de heurísticas importantes ("verificações") associadas à segurança do software.
- Selo de Melhores Práticas- Um conjunto de melhores práticas da Iniciativa de Infraestrutura Básica para a produção de software seguro de alta qualidade que fornece uma maneira para os projetos de OSS demonstrarem por meio de crachás que os estão seguindo.
- Políticas de segurança: Allstar fornece um conjunto e aplica políticas de segurança em repositórios ou organizações.
- Estrutura: Os Níveis de Cadeia de Fornecimento de Artefato de Software (SLSAs) fornecem uma estrutura de segurança para aumentar os níveis de integridade da cadeia de fornecimento de software.
- Treinamento- Cursos gratuitos sobre fundamentos de desenvolvimento de software seguro que educam os membros da comunidade sobre como desenvolver software seguro
- Divulgações de vulnerabilidade: Um guia para divulgação coordenada de vulnerabilidade para projetos OSS
- Análise de pacotes: pesquisar por software malicioso em pacotes OSS
- Verificações de segurança- Coleção pública de patches de segurança OSS
- Investigação- Estudos sobre software de código aberto e vulnerabilidades críticas de segurança conduzidos em parceria com o Harvard Laboratory for Innovation Sciences (LISH) (por exemplo, um censo preliminar e uma Pesquisa de Contribuidores FOSS)
La O OpenSSF continua a se basear em iniciativas como a Central Infrastructure Initiative e a Open Source Security Coalition e reúne outros trabalhos relacionados à segurança realizados por empresas que aderiram ao projeto.
"Nunca houve um momento mais empolgante para trabalhar na comunidade de código aberto, e a segurança da cadeia de suprimentos de software nunca precisou de tanta atenção", disse Brian Behlendorf, CEO da Open Source Security Foundation. “Não existe uma fórmula mágica para proteger as cadeias de suprimentos de software. Pesquisa, treinamento, práticas recomendadas, ferramentas e colaboração exigem o poder coletivo de milhares de mentes críticas em toda a nossa comunidade. O financiamento do OpenSSF nos dá o fórum e os recursos para fazer esse trabalho.
Finalmente se você estiver interessado em saber mais sobre isso, você pode verificar a publicação original em o seguinte link.