Fundacija Linux je napovedala ustanovitev nov projekt z imenom "OpenSSF" (Open Source Security Foundation), ki Njegov glavni cilj je zbiranje delo vodilni v industriji na področju izboljšanja varnosti odprtokodne programske opreme.
Z njim OpenSSF bo še naprej razvijala pobude, kot sta Infrastrukturna pobuda in Odprtokodna varnostna koalicija (Iniciativa za centralno infrastrukturo in odprtokodna varnostna koalicija) in bo združil druga dela na področju varnosti, ki jih izvajajo podjetja, ki so se pridružila projektu.
Ustanovni člani OpenSSF vključujejo GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, OWASP Foundation in Red Hat.
Medtem ko je z njegove strani GitLab, HackerOne, Intel, Uber, VMware, ElevenPaths, Okta, Purdue, SAFECode, StackHawk in Trail of Bits pridružili kot udeleženci.
La OpenSSF je sodelovanje med panogami združevanje voditeljev za izboljšanje varnosti odprtokodne programske opreme z ustvarjanjem širše skupnosti, posebne pobude in najboljše prakse.
Razlog za rodilo se je ustvarjanje tega projekta iz študije sodobnega sveta, v katerem je Odprtokodna programska oprema je zelo povpraševana na številnih področjih industrije, vendar zaradi razvojnih podrobnosti na njegovo varnost vplivajo verige odvisnosti in udeleženci v razvoju.
OpenSSF je medpanožno sodelovanje, ki združuje voditelje za izboljšanje varnosti odprtokodne programske opreme (OSS) z gradnjo širše skupnosti s ciljno usmerjenimi pobudami in najboljšimi praksami.
zato za potrditev varnosti odprtokodnih projektov, pomembno je preveriti ne samo glavno kodo, temveč tudi odvisnosti, kot tudi identifikacija razvijalcev, katerih koda je sprejeta v projektu, in zanesljiva overitev med pregledom in obvezo.
Poleg tega varnost zahteva uporabo varnih sistemov za gradnjo in preverjanje zgradb.
Odprtokodna programska oprema se je močno razširila v podatkovnih centrih, potrošniških napravah in storitvah, kar predstavlja njeno vrednost tako med tehnologi kot podjetji.
Zaradi svojega razvojnega procesa ima odprta koda, ki sčasoma doseže končne uporabnike, verigo sodelavcev in odvisnosti. Pomembno je, da odgovorni za varnost vašega uporabnika ali organizacije razumejo in preverijo varnost te odvisne verige.
Delo OpenSSF bo osredotočeno na področja kot je usklajeno razkritje informacij o ranljivosti y distribucija popravkov, razvijanje orodij za varnost, objavljanje najboljših praks za organizacijo varnega razvoja, prepoznavanje varnostnih groženj odprtokodni programski opremi, izvedite revizijsko delo in povečajte varnost kritičnih odprtokodnih projektov ter ustvarite orodja za preverjanje identitete razvijalcev.
Med grožnjami, ki jih povzroča pomanjkanje identifikacije razvijalcev, je omenjena možnost, da lahko napadalec pridobi vzdrževalne pravice za zlonamerne spremembe, podvoji račune za pregled lastne kode, omenja sodelovanje prevarantov, ki se predstavljajo kot drugi ali trdijo delo za določena podjetja.
"Verjamemo, da je odprtokodna javna dobrina in v vseh panogah smo odgovorni, da se združimo, da izboljšamo in podpremo varnost odprtokodne programske opreme, od katere smo vsi odvisni," je povedal Jim Zemlin, izvršni direktor fundacije Linux.
Na primer, težave z identifikacijo vključujejo incident z odvisnostjo od knjižnice tokov dogodkov po prenosu spremstva na nepreverjeno osebo, s katero je nekdanji upravitelj komuniciral le po e-pošti, ali številne primere prodaje vtičnikov in dodatkov brskalnika tretjih oseb.
Končno če želite vedeti več o tem, podrobnosti lahko preverite v izvirni publikaciji Linux Foundation V naslednji povezavi.
Ali tudi lahko obiščete spletno mesto OpenSSF V naslednji povezavi.