Фонд Linux оголосив про створення новий проект під назвою "OpenSSF" (Фонд безпеки з відкритим кодом), який Його головна мета - зібратися робота лідери галузі у галузі підвищення рівня безпеки програмного забезпечення з відкритим кодом.
З його допомогою OpenSSF продовжуватиме розвивати такі ініціативи, як Ініціатива інфраструктури та Коаліція з питань відкритого коду (Ініціатива центральної інфраструктури та Коаліція з безпеки відкритого коду) та об’єднає інші роботи, пов’язані з безпекою, що проводяться компаніями, які приєднались до проекту.
Члени-засновники OpenSSF включати GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, OWASP Foundation та Red Hat.
Поки зі свого боку GitLab, HackerOne, Intel, Uber, VMware, ElevenPaths, Okta, Purdue, SAFECode, StackHawk і Trail of Bits приєдналися як учасники.
La OpenSSF - це співпраця між галузями об'єднання лідерів для підвищення безпеки програмного забезпечення з відкритим кодом шляхом створення більш широкої спільноти, конкретні ініціативи та найкращі практики.
Причина народжується створення цього проекту з вивчення сучасного світу, в якому Програмне забезпечення з відкритим кодом користується великим попитом у багатьох галузях галузі, але через специфіку розвитку на його безпеку впливають ланцюги залежностей та учасники розвитку.
OpenSSF - це міжгалузева співпраця, яка об’єднує лідерів для підвищення безпеки програмного забезпечення з відкритим кодом (OSS) шляхом створення ширшого співтовариства з цілеспрямованими ініціативами та найкращими практиками.
Таким чином, для підтвердження безпеки проектів з відкритим кодом, важливо перевірити не тільки основний код, але і залежності, а також ідентифікацію розробників, чий код прийнятий у проекті, та надійну автентифікацію під час перевірки та зобов’язання.
Крім того, безпека вимагає використання безпечних систем збірки та перевірки збірки.
Програмне забезпечення з відкритим кодом набуло широкого поширення в центрах обробки даних, споживчих пристроях та послугах, що представляє його цінність серед технологів та бізнесу.
Завдяки своєму процесу розробки відкритий код, який з часом досягає кінцевих користувачів, має ланцюжок учасників та залежностей. Важливо, щоб відповідальні за безпеку вашого користувача або організації могли зрозуміти та перевірити безпеку цього ланцюжка залежностей.
Робота OpenSSF буде зосереджена на областях такі як скоординоване розкриття інформації про вразливість y розповсюдження патчів, розробка інструментів безпеки, публікація найкращих практик організації безпечного розвитку, визначати загрози безпеці для програм з відкритим кодом, виконувати аудиторські роботи та підвищувати безпеку критичних проектів з відкритим кодом, створюючи інструменти для перевірки особи розробників.
Серед загроз, спричинених відсутністю ідентифікації розробників, згадується можливість того, що зловмисник може отримати права супровідника на внесення шкідливих змін, дублювати облікові записи для перегляду власного коду, згадується участь самозванців, які видаються за інших людей. претендуючи на роботу для певних компаній.
"Ми віримо, що відкрите джерело є суспільним благом, і у всіх галузях ми несемо відповідальність об'єднатися, щоб поліпшити та підтримати безпеку програмного забезпечення з відкритим кодом, від якого ми всі залежамо", - сказав Джим Землін, генеральний директор Linux Foundation.
Наприклад, проблеми з ідентифікацією включають інцидент із залежністю від бібліотеки потоку подій після передачі ескорту неперевіреній особі, з якою колишній менеджер зв’язувався лише електронною поштою, або численні випадки продажу плагінів та сторонні додатки для браузера.
В кінці кінців якщо ви хочете дізнатися більше про це, Ви можете перевірити деталі в оригінальній публікації Linux Foundation У наступному посиланні.
Або також Ви можете відвідати веб-сайт OpenSSF У наступному посиланні.