OpenSSF: un proiect axat pe îmbunătățirea securității software-ului open source

Fundația Linux a anunțat formarea un nou proiect numit „OpenSSF” (Open Source Security Foundation) care Obiectivul său principal este de a aduna opera lui lideri din industrie în domeniul îmbunătățirii securității software-ului open source.

Cu acesta OpenSSF va continua să dezvolte inițiative precum Inițiativa Infrastructurii și Coaliția de Securitate Open Source (Inițiativa de infrastructură centrală și Coaliția de securitate a sursei deschise) și va reuni alte activități legate de securitate efectuate de companiile care s-au alăturat proiectului.

Membrii fondatori ai OpenSSF acestea includ GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, OWASP Foundation și Red Hat.

În timp ce de partea lui GitLab, HackerOne, Intel, Uber, VMware, ElevenPaths, Okta, Purdue, SAFECode, StackHawk și Trail of Bits s-au alăturat ca participanți.

La OpenSSF este o colaborare între industrii adunând lideri pentru a îmbunătăți securitatea software-ului open source prin crearea unei comunități mai largi, inițiative specifice și cele mai bune practici.

Motivul pentru care se naște crearea acestui proiect din studiul lumii moderne în care Software-ul open source este foarte solicitat în multe domenii ale industriei, dar datorită specificului dezvoltării, securitatea acestuia este influențată de lanțurile de dependențe și de participanții la dezvoltare.

OpenSSF este o colaborare între industrii care reunește lideri pentru a îmbunătăți securitatea software-ului open source (OSS) prin construirea unei comunități mai largi, cu inițiative și bune practici.

În consecință, pentru a confirma securitatea proiectelor open source, este important să verificați nu numai codul principal, ci și dependențele, precum și identificarea dezvoltatorilor al căror cod este acceptat în proiect și autentificarea fiabilă în timpul revizuirii și angajamentului.

În plus, securitatea necesită utilizarea unor sisteme de construcție sigure și verificarea construcției.

Software-ul open source a devenit răspândit în centre de date, dispozitive pentru consumatori și servicii, reprezentând valoarea sa atât în ​​rândul tehnologilor, cât și al întreprinderilor. 

Datorită procesului său de dezvoltare, open source care ajunge în cele din urmă la utilizatorii finali are un lanț de colaboratori și dependențe. Este important ca cei responsabili pentru securitatea utilizatorului sau organizației dvs. să poată înțelege și verifica securitatea acestui lanț de dependență.

Activitatea OpenSSF se va concentra pe domenii la fel ca divulgarea coordonată a informațiilor despre vulnerabilitate y distribuirea patch-urilor, dezvoltarea instrumentelor pentru securitate, publicarea celor mai bune practici pentru organizarea sigură a dezvoltării, identifică amenințările legate de securitate pentru software-ul open source, efectuați lucrări de audit și sporiți securitatea proiectelor open source critice, creând instrumente pentru a verifica identitatea dezvoltatorilor.

Printre amenințările cauzate de lipsa de identificare a dezvoltatorilor, se menționează posibilitatea ca un atacator să obțină drepturi de întreținere de a face modificări rău intenționate, să dubleze conturi pentru a-și revizui propriul cod, menționează participarea impostorilor care se prezintă ca alte persoane revendicarea de muncă pentru anumite companii.

„Credem că open source este un bun public și în toate industriile avem responsabilitatea de a ne uni pentru a îmbunătăți și a sprijini securitatea software-ului open source de care depindem cu toții”, a spus Jim Zemlin, CEO al The Linux Foundation.

De exemplu, problemele de identificare includ un incident cu dependență de biblioteca fluxului de evenimente după transferul unei escorte către o persoană neconfirmată care a fost contactată de fostul manager numai prin e-mail sau numeroase cazuri de vânzări de plug-inuri și programe de completare pentru browser terță parte.

În cele din urmă dacă vrei să afli mai multe despre asta, puteți verifica detaliile în publicația originală a Linux Foundation În următorul link.

Sau, de asemenea puteți vizita site-ul web OpenSSF În următorul link.


Fii primul care comenteaza

Lasă comentariul tău

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

*

*

  1. Responsabil pentru date: Miguel Ángel Gatón
  2. Scopul datelor: Control SPAM, gestionarea comentariilor.
  3. Legitimare: consimțământul dvs.
  4. Comunicarea datelor: datele nu vor fi comunicate terților decât prin obligație legală.
  5. Stocarea datelor: bază de date găzduită de Occentus Networks (UE)
  6. Drepturi: în orice moment vă puteți limita, recupera și șterge informațiile.