เมื่อเร็ว ๆ นี้ เปิดตัวมูลนิธิลินุกซ์ ผ่านบล็อกโพสต์ ความมุ่งมั่นโดย OpenSSF (มูลนิธิความปลอดภัยโอเพ่นซอร์ส) เพื่อระดมทุนให้กับมูลนิธิ Linux ด้วยเงิน $10 ล้านซึ่งเป็นส่วนหนึ่งของความพยายามในการปรับปรุงความปลอดภัยของซอฟต์แวร์โอเพ่นซอร์ส
ได้กล่าวไว้ว่า เงินทุนที่ระดมได้มาจากค่าลิขสิทธิ์จากบริษัทแม่ OpenSSFซึ่งรวมถึง Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, Google, IBM, Intel, JPMorgan Chase, Microsoft, Morgan Stanley, Oracle, Red Hat, Snyk และ VMware
“ความมุ่งมั่นในอุตสาหกรรมนี้ตอบสนองต่อการเรียกร้องของทำเนียบขาวเพื่อยกระดับพื้นฐานสำหรับความเป็นอยู่ที่ดีในการรักษาความปลอดภัยทางไซเบอร์โดยรวมของเรา เช่นเดียวกับ 'จ่ายเงิน' ให้กับชุมชนโอเพ่นซอร์สเพื่อช่วยให้พวกเขาสร้างซอฟต์แวร์ที่ปลอดภัยที่เราทุกคนชื่นชอบ เราได้รับประโยชน์ ” จิม เซมลิน ซีอีโอของมูลนิธิลินุกซ์กล่าว “เรายินดีที่ได้เป็นผู้นำและประสบการณ์ที่กว้างขวางของ Brian Behlendorf ในการสร้างและรักษาชุมชนขนาดใหญ่และโครงการทางเทคนิคที่นำมาประยุกต์ใช้กับงานนี้ ด้วยการเติบโตอย่างมากและความแพร่หลายของซอฟต์แวร์โอเพ่นซอร์ส การสร้างโปรแกรมและแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่ปรับขนาดได้จึงเป็นงานที่ใหญ่ที่สุดของเรา "
การจัดหาเงินทุนนี้ เป็นส่วนหนึ่งของความร่วมมือระหว่างอุตสาหกรรม ที่รวบรวมความคิดริเริ่มของซอฟต์แวร์โอเพ่นซอร์สหลายรายการภายใต้วัตถุประสงค์เดียวกัน เพื่อระบุและแก้ไขช่องโหว่ด้านความปลอดภัยทางไซเบอร์ในซอฟต์แวร์โอเพ่นซอร์ส และพัฒนาเครื่องมือ การฝึกอบรม การวิจัย แนวทางปฏิบัติที่ดีที่สุด และแนวทางปฏิบัติในการเปิดเผยช่องโหว่ที่ได้รับการปรับปรุง
เหมือนเป็นการเตือนความจำ, งานของ OpenSSF มุ่งเน้นไปที่ด้านต่างๆ เช่น การเปิดเผยช่องโหว่ที่มีการประสานงาน การกระจายแพตช์ การพัฒนาเครื่องมือความปลอดภัย การเผยแพร่แนวปฏิบัติที่ดีที่สุด สำหรับองค์กรการพัฒนาที่ปลอดภัย การระบุภัยคุกคามที่เกี่ยวข้องกับความปลอดภัยในซอฟต์แวร์โอเพ่นซอร์ส การตรวจสอบและการเสริมสร้างความเข้มแข็ง โครงการโอเพ่นซอร์สที่สำคัญต่อภารกิจ การสร้างเครื่องมือเพื่อตรวจสอบตัวตนของนักพัฒนา
- ดัชนีชี้วัดความปลอดภัย- เครื่องมืออัตโนมัติเต็มรูปแบบที่ประเมินฮิวริสติกที่สำคัญจำนวนหนึ่ง ("ตรวจสอบ") ที่เกี่ยวข้องกับความปลอดภัยของซอฟต์แวร์
- ป้ายแนวทางปฏิบัติที่ดีที่สุด- ชุดแนวทางปฏิบัติที่ดีที่สุดจาก Core Infrastructure Initiative สำหรับการผลิตซอฟต์แวร์ความปลอดภัยคุณภาพสูงขึ้น ซึ่งเป็นช่องทางให้โปรเจ็กต์ OSS สามารถสาธิตผ่านตราที่พวกเขากำลังติดตาม
- นโยบายความปลอดภัย: Allstar จัดเตรียมชุดและบังคับใช้นโยบายความปลอดภัยในที่เก็บหรือองค์กร
- กรอบ: Software Artifact Supply Chain Levels (SLSA) จัดเตรียมกรอบความปลอดภัยเพื่อเพิ่มระดับความสมบูรณ์ของห่วงโซ่อุปทานของซอฟต์แวร์
- การอบรม- หลักสูตรฟรีเกี่ยวกับพื้นฐานการพัฒนาซอฟต์แวร์ที่ปลอดภัยซึ่งให้ความรู้แก่สมาชิกในชุมชนเกี่ยวกับวิธีการพัฒนาซอฟต์แวร์ที่ปลอดภัย
- การเปิดเผยช่องโหว่: คู่มือการเปิดเผยช่องโหว่ที่ประสานงานกันสำหรับโครงการ OSS
- การวิเคราะห์แพ็คเก็ต: ค้นหาซอฟต์แวร์ที่เป็นอันตรายในแพ็คเกจ OSS
- การตรวจสอบความปลอดภัย- การรวบรวมแพตช์ความปลอดภัย OSS สาธารณะ
- การวิจัย- การศึกษาซอฟต์แวร์โอเพ่นซอร์สและช่องโหว่ด้านความปลอดภัยที่สำคัญที่ดำเนินการร่วมกับ Harvard Laboratory for Innovation Sciences (LISH) (เช่น การสำรวจสำมะโนเบื้องต้นและ FOSS Contributor Survey)
La OpenSSF ยังคงต่อยอดจากความคิดริเริ่ม เช่น Central Infrastructure Initiative และ Open Source Security Coalition และรวบรวมงานที่เกี่ยวข้องกับความปลอดภัยอื่น ๆ ที่ทำโดยบริษัทที่เข้าร่วมโครงการ
Brian Behlendorf ซีอีโอของ Open Source Security Foundation กล่าวว่า "ไม่เคยมีเวลาที่น่าตื่นเต้นมากไปกว่าการทำงานในชุมชนโอเพ่นซอร์ส และการรักษาความปลอดภัยซัพพลายเชนของซอฟต์แวร์ไม่เคยต้องการความสนใจจากเรามากนัก “ไม่มีสูตรสำเร็จในการรักษาความปลอดภัยห่วงโซ่อุปทานซอฟต์แวร์ การวิจัย การฝึกอบรม แนวทางปฏิบัติที่ดีที่สุด เครื่องมือ และการทำงานร่วมกันต้องการพลังรวมของจิตใจที่สำคัญหลายพันคนทั่วทั้งชุมชนของเรา เงินทุน OpenSSF ทำให้เรามีฟอรัมและทรัพยากรในการทำงานนี้
ในที่สุด หากคุณสนใจที่จะทราบข้อมูลเพิ่มเติม คุณสามารถตรวจสอบสิ่งพิมพ์ต้นฉบับใน ลิงค์ต่อไปนี้