OpenSSF: një projekt i përqendruar në përmirësimin e sigurisë së softuerit me burim të hapur

Fondacioni Linux ka njoftuar formimin e një projekt i ri i quajtur "OpenSSF" (Open Source Security Foundation) i cili Objektivi kryesor i tij është mbledhja puna e udhëheqësit e industrisë në fushën e rritjes së sigurisë së softuerit me burim të hapur.

Me të OpenSSF do të vazhdojë të zhvillojë iniciativa të tilla si Nisma e Infrastrukturës dhe Koalicioni i Sigurisë me Burim të Hapur (Nisma Qendrore e Infrastrukturës dhe Koalicioni i Sigurisë me Burim të Hapur) dhe do të mbledhë së bashku punën tjetër të lidhur me sigurinë që po kryhet nga kompanitë që janë bashkuar me projektin.

Anëtarët themelues të OpenSSF ato përfshijnë GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, OWASP Foundation dhe Red Hat.

Ndërsa nga ana e tij GitLab, HackerOne, Intel, Uber, VMware, ElevenPaths, Okta, Purdue, SAFECode, StackHawk dhe Trail of Bits u bashkuan si pjesëmarrës.

La OpenSSF është një bashkëpunim midis industrive mbledhjen e drejtuesve për të përmirësuar sigurinë e softuerit me burim të hapur duke krijuar një komunitet më të gjerë, iniciativa specifike dhe praktikat më të mira.

Arsyeja për lind krijimi i këtij projekti nga studimi i botës moderne në të cilën Softueri me burim të hapur është shumë i kërkuar në shumë fusha të industrisë, por për shkak të specifikave të zhvillimit, siguria e tij ndikohet nga zinxhirët e varësisë dhe pjesëmarrësit e zhvillimit.

OpenSSF është një bashkëpunim midis industrisë që bashkon drejtuesit për të përmirësuar sigurinë e softuerit me burim të hapur (OSS) duke ndërtuar një komunitet më të gjerë me iniciativa dhe praktikat më të mira të synuara.

Prandaj, për të konfirmuar sigurinë e projekteve me burim të hapur, është e rëndësishme të kontrolloni jo vetëm kodin kryesor, por edhe varësitë, si dhe identifikimin e zhvilluesve kodi i të cilëve pranohet në projekt dhe vërtetimi i besueshëm gjatë rishikimit dhe zotimit.

Përveç kësaj, siguria kërkon përdorimin e sistemeve të sigurta të ndërtimit dhe verifikimin e ndërtimit.

Softueri me burim të hapur është bërë i përhapur në qendrat e të dhënave, pajisjet e konsumatorit dhe shërbimet, duke përfaqësuar vlerën e tij midis teknologëve dhe bizneseve njësoj. 

Për shkak të procesit të tij të zhvillimit, burimi i hapur që përfundimisht arrin tek përdoruesit përfundimtarë ka një zinxhir kontribuesish dhe varësish. Shtë e rëndësishme që ata që janë përgjegjës për sigurinë e përdoruesit ose organizatës suaj të mund të kuptojnë dhe verifikojnë sigurinë e këtij zinxhiri të varësisë.

Puna e OpenSSF do të përqendrohet në fusha siç është zbulimi i koordinuar i informacionit për cenueshmërinë y shpërndarja e patch-it, zhvillimin e mjeteve për sigurinë, botimin e praktikave më të mira për organizimin e zhvillimit të sigurt, identifikojnë kërcënimet që lidhen me sigurinë ndaj softuerit me burim të hapur, kryejnë punë të auditimit dhe rrisin sigurinë e projekteve kritike me burim të hapur, duke krijuar mjete për të verifikuar identitetin e zhvilluesve.

Ndër kërcënimet e shkaktuara nga mungesa e identifikimit të zhvilluesve, përmendet mundësia që një sulmues mund të marrë të drejtat e mirëmbajtësit për të bërë ndryshime dashakeqe, llogari të kopjuara për të rishikuar kodin e tyre, pjesëmarrjen e mashtruesve që paraqiten si njerëz të tjerë ose përmendet. duke pretenduar punë për kompani të caktuara.

"Ne besojmë se burimi i hapur është një e mirë publike dhe në të gjitha industritë ne kemi përgjegjësinë të bashkohemi për të përmirësuar dhe mbështetur sigurinë e softuerit me burim të hapur nga i cili varen të gjithë", tha Jim Zemlin, CEO i Fondacionit Linux.

Për shembull, çështjet e identifikimit përfshijnë një incident me një varësi nga biblioteka e rrymës së ngjarjes pas transferimit të një shoqërimi te një person i paverifikuar i cili ishte kontaktuar nga ish-menaxheri vetëm përmes postës elektronike, ose raste të shumta të shitjeve plug-in dhe shtesat e shfletuesve të palëve të treta.

Më në fund nëse doni të dini më shumë rreth kësaj, ju mund të kontrolloni detajet në botimin origjinal të Linux Foundation Në lidhjen vijuese.

Ose gjithashtu ju mund të vizitoni faqen e internetit të OpenSSF Në lidhjen vijuese.


Përmbajtja e artikullit i përmbahet parimeve tona të etika editoriale. Për të raportuar një gabim klikoni këtu.

Bëhu i pari që komenton

Lini komentin tuaj

Adresa juaj e emailit nuk do të publikohet.

*

*

  1. Përgjegjës për të dhënat: Miguel Ángel Gatón
  2. Qëllimi i të dhënave: Kontrolloni SPAM, menaxhimin e komenteve.
  3. Legjitimimi: Pëlqimi juaj
  4. Komunikimi i të dhënave: Të dhënat nuk do t'u komunikohen palëve të treta përveç me detyrim ligjor.
  5. Ruajtja e të dhënave: Baza e të dhënave e organizuar nga Occentus Networks (BE)
  6. Të drejtat: Në çdo kohë mund të kufizoni, rikuperoni dhe fshini informacionin tuaj.