Linux Foundation объявил о создании новый проект под названием "OpenSSF" (Фонд безопасности с открытым исходным кодом), который Его основная цель - собрать работа лидеры отрасли в области повышения безопасности программного обеспечения с открытым исходным кодом.
С его помощью OpenSSF продолжит развивать такие инициативы, как Infrastructure Initiative и Open Source Security Coalition. (Central Infrastructure Initiative и Open Source Security Coalition) и объединит другие работы, связанные с безопасностью, которые выполняются компаниями, присоединившимися к проекту.
Члены-основатели OpenSSF Они включают в себя GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, OWASP Foundation и Red Hat.
Хотя со своей стороны GitLab, HackerOne, Intel, Uber, VMware, ElevenPaths, Okta, Purdue, SAFECode, StackHawk и Trail of Bits присоединились как участники.
La OpenSSF - это сотрудничество между отраслями объединение лидеров для повышения безопасности программного обеспечения с открытым исходным кодом создавая более широкое сообщество, конкретные инициативы и передовой опыт.
Причина для рождается создание этого проекта из исследования современного мира, в котором Программное обеспечение с открытым исходным кодом пользуется большим спросом во многих сферах индустрии., но из-за деталей разработки на его безопасность влияют цепочки зависимостей и участники разработки.
OpenSSF - это межотраслевое сотрудничество, которое объединяет лидеров для повышения безопасности программного обеспечения с открытым исходным кодом (OSS) путем создания более широкого сообщества с целевыми инициативами и передовыми методами.
Таким образом, для подтверждения безопасности проектов с открытым исходным кодом, важно проверять не только основной код, но и зависимости, а также идентификация разработчиков, чей код принят в проекте, и надежная аутентификация во время проверки и принятия обязательств.
Кроме того, безопасность требует использования безопасных систем сборки и проверки сборки.
Программное обеспечение с открытым исходным кодом получило широкое распространение в центрах обработки данных, потребительских устройствах и сервисах, представляя свою ценность как для технологов, так и для предприятий.
Благодаря процессу разработки открытый исходный код, который в конечном итоге достигает конечных пользователей, имеет цепочку участников и зависимостей. Важно, чтобы лица, ответственные за безопасность вашего пользователя или организации, могли понять и проверить безопасность этой цепочки зависимостей.
Работа OpenSSF будет сосредоточена на областях такие как согласованное раскрытие информации об уязвимостях y распространение патчей, разработка инструментов для обеспечения безопасности, публикация лучших практик организации безопасной разработки, выявлять связанные с безопасностью угрозы ПО с открытым исходным кодом, выполнять аудиторскую работу и повышать безопасность критически важных проектов с открытым кодом, создавая инструменты для проверки личности разработчиков.
Среди угроз, вызванных отсутствием идентификации разработчиков, возможность получения злоумышленником прав сопровождающего для внесения вредоносных изменений, дублирование учетных записей для проверки собственного кода, упоминание об участии самозванцев, выдающих себя за других людей или требующих работы на определенные компании.
«Мы считаем, что открытый исходный код - это общественное благо, и во всех отраслях мы обязаны объединяться для улучшения и поддержки безопасности программного обеспечения с открытым исходным кодом, от которого мы все зависим», - сказал Джим Землин, генеральный директор The Linux Foundation.
Например, проблемы с идентификацией включают инцидент с зависимостью от библиотеки потока событий после передачи сопровождения непроверенному лицу, с которым бывший менеджер связывался только по электронной почте, или многочисленные случаи продажи подключаемых модулей и сторонних надстроек браузера.
В конце концов если вы хотите узнать об этом больше, вы можете проверить подробности в оригинальной публикации Linux Foundation По следующей ссылке.
Или также вы можете посетить сайт OpenSSF По следующей ссылке.