Linux Foundation har meddelat bildandet av ett nytt projekt som heter "OpenSSF" (Open Source Security Foundation) som Dess huvudsyfte är att samlas arbetet med branschledare inom förbättring av programvara med öppen källkod.
Med det OpenSSF kommer att fortsätta utveckla initiativ som infrastrukturinitiativet och koalitionen med öppen källkod (Central Infrastructure Initiative och Open Source Security Coalition) och kommer att sammanföra annat säkerhetsrelaterat arbete som utförs av företag som har gått med i projektet.
De grundande medlemmarna av OpenSSF de omfattar GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, OWASP Foundation och Red Hat.
Medan för hans del GitLab, HackerOne, Intel, Uber, VMware, ElevenPaths, Okta, Purdue, SAFECode, StackHawk och Trail of Bits gick med som deltagare.
La OpenSSF är ett samarbete mellan branscher samla ledare för att förbättra säkerheten för programvara med öppen källkod genom att skapa en bredare gemenskap, specifika initiativ och bästa praxis.
Orsaken till skapandet av detta projekt är född från studien av den moderna världen där Programvara med öppen källkod är mycket efterfrågad i många delar av branschen, men på grund av specifikationerna för utvecklingen påverkas dess säkerhet av kedjor av beroenden och utvecklingsdeltagare.
OpenSSF är ett branschsamarbete som samlar ledare för att förbättra säkerheten för öppen källkodsprogramvara (OSS) genom att bygga ett bredare samhälle med riktade initiativ och bästa praxis.
Därför, för att bekräfta säkerheten för projekt med öppen källkod, det är viktigt att inte bara kontrollera huvudkoden utan också beroenden, samt identifiering av utvecklare vars kod accepteras i projektet och pålitlig autentisering under granskningen och åtagandet.
Dessutom kräver säkerhet användning av säkra byggsystem och byggverifiering.
Programvara med öppen källkod har blivit utbredd i datacenter, konsumentenheter och tjänster, vilket representerar dess värde bland tekniker och företag.
På grund av sin utvecklingsprocess har öppen källkod som så småningom når slutanvändare en kedja av bidragsgivare och beroenden. Det är viktigt att de som ansvarar för säkerheten för din användare eller organisation kan förstå och verifiera säkerheten för denna kedja av beroende.
OpenSSFs arbete kommer att fokusera på områden så som samordnat avslöjande av sårbarhetsinformation y patch distribution, utveckla verktyg för säkerhet, publicera bästa praxis för säker utvecklingsorganisation, identifiera säkerhetsrelaterade hot mot programvara med öppen källkod, utföra granskningsarbete och öka säkerheten för kritiska open source-projekt, skapa verktyg för att verifiera utvecklarnas identitet.
Bland hoten som orsakas av bristen på identifiering av utvecklarna nämns möjligheten att en angripare kan få behörighetsrättigheter att göra skadliga ändringar, duplicera konton för att granska sin egen kod, deltagare av bedragare som poserar som andra människor eller nämns. anspråk på arbete för vissa företag.
"Vi tror att öppen källkod är en allmän nytta och i alla branscher har vi ett ansvar att samlas för att förbättra och stödja säkerheten för öppen källkodsprogramvara som vi alla är beroende av", säger Jim Zemlin, VD för Linux Foundation.
Identifieringsproblem inkluderar till exempel en incident med ett beroende av händelseströmbiblioteket efter överföring av en eskort till en overifierad person som endast kontaktades av den tidigare chefen via e-post, eller flera fall av plug-in-försäljning och webbläsartillägg från tredje part.
Slutligen om du vill veta mer om det, Du kan kontrollera detaljerna i den ursprungliga publikationen av Linux Foundation I följande länk.
Eller också Du kan besöka OpenSSF-webbplatsen I följande länk.