recent Linux Foundation a dezvăluit printr-o postare pe blog angajament de către OpenSSF (Open Source Security Foundation) să finanțeze Fundația Linux cu 10 milioane de dolari, ca parte a unui efort de îmbunătățire a securității software-ului open source.
Se menționează că Fondurile strânse sunt prin redevențe de la companiile-mamă OpenSSF, inclusiv Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, Google, IBM, Intel, JPMorgan Chase, Microsoft, Morgan Stanley, Oracle, Red Hat, Snyk și VMware.
„Acest angajament la nivel de industrie răspunde la solicitarea Casei Albe de a crește linia de bază pentru bunăstarea noastră colectivă a securității cibernetice, precum și de a„ plăti înainte ”comunităților open source pentru a le ajuta să creeze software securizat pe care îl iubim cu toții. a spus Jim Zemlin, CEO al Fundației Linux. „Suntem încântați să avem conducerea și experiența extinsă a lui Brian Behlendorf în construirea și întreținerea comunităților mari și a proiectelor tehnice aplicate acestei lucrări. Odată cu creșterea extraordinară și omniprezenta software-ului open source, crearea de programe și practici de securitate cibernetică pe scară largă este cea mai mare sarcină a noastră. "
Această finanțare face parte dintr-o colaborare între industrii care reunește mai multe inițiative software open source în același scop pentru a identifica și corecta vulnerabilitățile de securitate cibernetică în software-ul open source și să dezvolte instrumente îmbunătățite, instruire, cercetare, cele mai bune practici și practici de divulgare a vulnerabilității.
Ca un memento, Activitatea OpenSSF se concentrează pe domenii precum divulgarea coordonată a vulnerabilității, distribuirea patch-urilor, dezvoltarea instrumentelor de securitate, publicarea celor mai bune practici pentru organizarea securizată a dezvoltării, identificarea amenințărilor legate de securitate în software-ul open source, audit și consolidare a lucrărilor, proiecte open source critice pentru misiune, crearea de instrumente pentru verificarea identității dezvoltatorilor.
- Scorecard de securitate- Un instrument complet automatizat care evaluează o serie de euristici importante („verificări”) asociate securității software-ului.
- Insignă pentru cele mai bune practici- Un set de bune practici din Core Infrastructure Initiative pentru a produce software securizat de calitate superioară, care oferă o modalitate prin care proiectele OSS pot demonstra prin ecusoane că le urmăresc.
- Politici de securitate: Allstar oferă un set și aplică politici de securitate în depozite sau organizații.
- Cadru: Nivelurile lanțului de aprovizionare cu artefacte software (SLSA) oferă un cadru de securitate pentru a crește nivelurile de integritate a lanțului de aprovizionare cu software.
- Pregătire- Cursuri gratuite despre elementele fundamentale de dezvoltare software securizată care îi educă pe membrii comunității despre cum să dezvolte software securizat
- Dezvăluiri despre vulnerabilitate: Un ghid pentru dezvăluirea vulnerabilității coordonate pentru proiectele OSS
- Analiza pachetelor: căutați software rău intenționat în pachetele OSS
- Verificări de securitate- Colectare publică de patch-uri de securitate OSS
- Cercetare- Studii privind software-ul open source și vulnerabilitățile critice de securitate efectuate în parteneriat cu Laboratorul Harvard pentru Științe ale Inovării (LISH) (de exemplu, un recensământ preliminar și un sondaj FOSS Contributor)
La OpenSSF continuă să se bazeze pe inițiative precum Inițiativa Infrastructurii Centrale și Coaliția de Securitate Deschisă și reunește alte activități legate de securitate efectuate de companiile care s-au alăturat proiectului.
„Nu a existat niciodată un moment mai interesant pentru a lucra în comunitatea open source, iar securitatea lanțului de aprovizionare cu software nu a avut niciodată nevoie de mai multă atenție”, a declarat Brian Behlendorf, CEO al Fundației pentru Securitate Open Source. „Nu există o formulă magică pentru securizarea lanțurilor de aprovizionare cu software. Cercetarea, instruirea, cele mai bune practici, instrumentele și colaborarea necesită puterea colectivă a mii de minți critice din comunitatea noastră. Finanțarea OpenSSF ne oferă forumul și resursele necesare pentru a face acest lucru.
În cele din urmă dacă sunteți interesat să aflați mai multe despre asta, puteți verifica publicația originală în următorul link.