OpenSSF: một dự án tập trung vào việc cải thiện tính bảo mật của phần mềm nguồn mở

Quỹ Linux đã công bố sự thành lập của một dự án mới được gọi là "OpenSSF" (Quỹ bảo mật nguồn mở) Mục tiêu chính của nó là thu thập công việc của đầu ngành trong lĩnh vực tăng cường bảo mật phần mềm nguồn mở.

Với nó OpenSSF sẽ tiếp tục phát triển các sáng kiến ​​như Sáng kiến ​​Cơ sở hạ tầng và Liên minh An ninh Nguồn Mở (Sáng kiến ​​Cơ sở hạ tầng Trung tâm và Liên minh An ninh Nguồn Mở) và sẽ tập hợp các công việc khác liên quan đến an ninh đang được thực hiện bởi các công ty đã tham gia dự án.

Các thành viên sáng lập của OpenSSF bao gồm GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, OWASP Foundation và Red Hat.

Trong khi về phần mình GitLab, HackerOne, Intel, Uber, VMware, ElevenPaths, Okta, Purdue, SAFECode, StackHawk và Trail of Bits đã tham gia với tư cách là người tham gia.

La OpenSSF là sự hợp tác giữa các ngành tập hợp các nhà lãnh đạo để cải thiện tính bảo mật của phần mềm nguồn mở bằng cách tạo ra một cộng đồng rộng lớn hơn, sáng kiến ​​cụ thể và các phương pháp hay nhất.

Lý giải cho việc việc tạo ra dự án này được sinh ra từ nghiên cứu về thế giới hiện đại, trong đó Phần mềm nguồn mở đang có nhu cầu cao trong nhiều lĩnh vực của ngành, nhưng do các chi tiết phát triển, tính bảo mật của nó bị ảnh hưởng bởi các chuỗi phụ thuộc và những người tham gia phát triển.

OpenSSF là sự hợp tác xuyên ngành tập hợp các nhà lãnh đạo nhằm cải thiện tính bảo mật của phần mềm nguồn mở (OSS) bằng cách xây dựng một cộng đồng rộng lớn hơn với các sáng kiến ​​mục tiêu và thực tiễn tốt nhất.

Do đó, để xác nhận tính bảo mật của các dự án nguồn mở, điều quan trọng là phải kiểm tra không chỉ mã chính mà còn cả các phần phụ thuộc, cũng như xác định các nhà phát triển có mã được chấp nhận trong dự án và xác thực đáng tin cậy trong quá trình xem xét và cam kết.

Ngoài ra, bảo mật yêu cầu sử dụng các hệ thống xây dựng an toàn và xác minh xây dựng.

Phần mềm nguồn mở đã trở nên phổ biến trong các trung tâm dữ liệu, thiết bị tiêu dùng và dịch vụ, thể hiện giá trị của nó đối với các nhà công nghệ và doanh nghiệp. 

Do quá trình phát triển của nó, mã nguồn mở cuối cùng đến tay người dùng cuối có một chuỗi những người đóng góp và phụ thuộc. Điều quan trọng là những người chịu trách nhiệm về bảo mật của người dùng hoặc tổ chức của bạn có thể hiểu và xác minh tính bảo mật của chuỗi phụ thuộc này.

Công việc của OpenSSF sẽ tập trung vào các lĩnh vực chẳng hạn như phối hợp tiết lộ thông tin về lỗ hổng bảo mật y phân phối bản vá, phát triển các công cụ để bảo mật, xuất bản các phương pháp hay nhất cho tổ chức phát triển an toàn, xác định các mối đe dọa liên quan đến bảo mật đối với phần mềm nguồn mở, thực hiện công việc Kiểm toán và tăng cường bảo mật cho các dự án nguồn mở quan trọng, tạo ra các công cụ để xác minh danh tính của các nhà phát triển.

Trong số các mối đe dọa gây ra bởi việc thiếu nhận dạng của các nhà phát triển, đề cập đến khả năng kẻ tấn công có thể có được quyền của người bảo trì để thực hiện các thay đổi độc hại, sao chép tài khoản để xem lại mã của chính họ, đề cập đến sự tham gia của những kẻ mạo danh giả danh người khác hoặc yêu cầu công việc cho một số công ty.

Jim Zemlin, Giám đốc điều hành của The Linux Foundation cho biết: “Chúng tôi tin rằng nguồn mở là hàng hóa công cộng và trong tất cả các ngành công nghiệp, chúng tôi có trách nhiệm cùng nhau cải thiện và hỗ trợ tính bảo mật của phần mềm nguồn mở mà tất cả chúng tôi phụ thuộc vào”.

Ví dụ: các vấn đề về nhận dạng bao gồm sự cố có sự phụ thuộc vào thư viện luồng sự kiện sau khi chuyển người hộ tống cho một người chưa được xác minh mà người quản lý cũ chỉ liên lạc qua email hoặc nhiều trường hợp bán plugin và các tiện ích bổ sung cho trình duyệt của bên thứ ba.

Cuối cùng nếu bạn muốn biết thêm về nó, bạn có thể kiểm tra các chi tiết trong ấn phẩm Linux Foundation ban đầu Trong liên kết sau đây.

Hoặc cũng có bạn có thể truy cập trang web OpenSSF Trong liên kết sau đây.


Hãy là người đầu tiên nhận xét

Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu bằng *

*

*

  1. Chịu trách nhiệm về dữ liệu: Miguel Ángel Gatón
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.