Linux基金会宣布成立 一个新的项目叫做 “ OpenSSF” (开源安全基金会) 其主要目的是收集 的工作 开源软件安全性增强领域的行业领导者。
有了它OpenSSF 将继续发展诸如基础设施计划和开源安全联盟之类的计划 (中央基础设施计划和开放源代码安全联盟),并将把已加入该项目的公司所开展的其他与安全相关的工作结合在一起。
OpenSSF的创始成员 它们包括 GitHub,Google,IBM,JPMorgan Chase,Microsoft,NCC Group,OWASP Foundation和Red Hat。
而对于他来说 GitLab,HackerOne,Intel,Uber,VMware,ElevenPaths,Okta,Purdue,SAFECode,StackHawk和Trail of Bits 作为参与者加入。
La OpenSSF是行业之间的协作 召集领导者来提高开源软件的安全性 通过建立更广泛的社区, 具体举措 和最佳做法。
的原因 这个项目的创造诞生了 从对现代世界的研究中 开源软件在行业的许多领域都有很高的需求,但是由于开发的特定性,其安全性受依赖项链和开发参与者的链影响。
OpenSSF是跨行业的协作,它聚集了领导者,通过建立具有针对性的计划和最佳实践的更广泛的社区来提高开源软件(OSS)的安全性。
因此, 确认开源项目的安全性, 重要的是不仅要检查主代码,还要检查依赖项, 以及在项目中接受其代码的开发人员的标识,以及在审核和承诺期间的可靠身份验证。
此外,安全性要求使用安全的构建系统和构建验证。
开源软件已在数据中心,消费者设备和服务中得到广泛应用,在技术人员和企业中都代表了其价值。
由于其开发过程,最终到达最终用户的开源具有一系列贡献者和依赖性。 负责用户或组织安全的人员必须了解并验证此依赖关系链的安全,这一点很重要。
OpenSSF的工作将重点放在领域上 如 协调披露漏洞信息 y 补丁分发,开发安全性工具,发布安全开发组织的最佳做法, 确定对开源软件的安全性威胁, 执行审核工作并提高关键开源项目的安全性,创建工具来验证开发人员的身份。
在由于缺乏开发人员身份而造成的威胁中,提到攻击者可能获得维护者权利进行恶意更改,重复帐户以查看其自身代码,冒名顶替者冒充他人或被提及的可能性。要求某些公司工作。
The Linux Foundation首席执行官Jim Zemlin表示:“我们相信开源是一种公共物品,在所有行业中,我们都有责任共同努力,以改善和支持我们所依赖的开源软件的安全性。”
例如,识别问题包括将陪同人员转移到未经验证的人之后,该事件依赖于事件流库,该未经验证的人仅通过电子邮件与前经理联系,或者发生了许多插件销售和第三方浏览器插件的情况。
最后 如果您想了解更多, 您可以在Linux Foundation的原始出版物中查看详细信息 在下面的链接中。
或者也 您可以访问OpenSSF网站 在下面的链接中。