A Linux Foundation anunciou a formação de um novo projeto chamado "OpenSSF" (Open Source Security Foundation) que Seu principal objetivo é reunir o trabalho do líderes da indústria na área de aprimoramento de segurança de software de código aberto.
Com ele OpenSSF continuará a desenvolver iniciativas como a Infrastructure Initiative e a Open Source Security Coalition (Central Infrastructure Initiative e Open Source Security Coalition) e reunirá outros trabalhos relacionados à segurança sendo realizados por empresas que aderiram ao projeto.
Os membros fundadores do OpenSSF incluir GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, OWASP Foundation e Red Hat.
Enquanto por sua parte GitLab, HackerOne, Intel, Uber, VMware, ElevenPaths, Okta, Purdue, SAFECode, StackHawk e Trail of Bits ingressaram como participantes.
La OpenSSF é uma colaboração entre indústrias reunindo líderes para melhorar a segurança do software de código aberto criando uma comunidade mais ampla, iniciativas específicas e melhores práticas.
A razão para nasce a criação deste projeto do estudo do mundo moderno em que o O software de código aberto está em alta demanda em muitas áreas da indústria, mas devido às especificidades do desenvolvimento, sua segurança é influenciada por cadeias de dependências e participantes do desenvolvimento.
OpenSSF é uma colaboração entre setores que reúne líderes para melhorar a segurança do software de código aberto (OSS), construindo uma comunidade mais ampla com iniciativas direcionadas e melhores práticas.
Portanto, para confirmar a segurança de projetos de código aberto, é importante verificar não apenas o código principal, mas também as dependências, bem como a identificação dos desenvolvedores cujo código é aceito no projeto e a autenticação confiável durante a revisão e o compromisso.
Além disso, a segurança requer o uso de sistemas de construção seguros e verificação de construção.
O software de código-fonte aberto se espalhou em centros de dados, dispositivos de consumo e serviços, representando seu valor entre tecnólogos e empresas.
Devido ao seu processo de desenvolvimento, o código aberto que eventualmente chega aos usuários finais possui uma cadeia de colaboradores e dependências. É importante que os responsáveis pela segurança de seu usuário ou organização possam entender e verificar a segurança desta cadeia de dependência.
O trabalho do OpenSSF se concentrará em áreas tais como o divulgação coordenada de informações de vulnerabilidade y distribuição de patch, desenvolvimento de ferramentas para segurança, publicação de melhores práticas para organização de desenvolvimento seguro, identificar ameaças relacionadas à segurança para software de código aberto, realizar trabalhos de Auditoria e aumentar a segurança de projetos críticos de código aberto, criando ferramentas para verificar a identidade dos desenvolvedores.
Entre as ameaças causadas pela falta de identificação dos desenvolvedores, menciona-se a possibilidade de um atacante obter direitos de mantenedor para fazer alterações maliciosas, contas duplicadas para revisar seu próprio código, a participação de impostores se passando por outras pessoas ou é mencionada. reivindicando trabalho para certas empresas.
"Acreditamos que o código aberto é um bem público e em todos os setores temos a responsabilidade de nos unir para melhorar e apoiar a segurança do software de código aberto do qual todos dependemos", disse Jim Zemlin, CEO da The Linux Foundation.
Por exemplo, os problemas de identificação incluem um incidente com uma dependência da biblioteca de fluxo de eventos após a transferência de um acompanhante para uma pessoa não verificada que foi contatada pelo ex-gerente apenas por e-mail ou vários casos de vendas de plug-in e complementos de navegador de terceiros.
Finalmente se você quiser saber mais sobre isso, você pode verificar os detalhes na publicação original da Linux Foundation no link a seguir.
Ou também você pode visitar o site do OpenSSF no link a seguir.