OpenSSF:一個致力於提高開源軟件安全性的項目

Linux 基金會宣布成立 一個新的項目叫做 “開放SSF” (開源安全基金會) 其主要目標是聚集 的工作 提高開源軟件安全性領域的行業領導者。

有了它 OpenSSF 將繼續制定基礎設施倡議和開源安全聯盟等倡議 (中央基礎設施計劃和開源安全聯盟)並將匯集加入該項目的公司正在開展的其他安全相關工作。

OpenSSF 創始成員 包括 GitHub、Google、IBM、摩根大通、微軟、NCC 集團、OWASP 基金會和紅帽。

而就他而言 GitLab、HackerOne、英特爾、Uber、VMware、ElevenPaths、Okta、Purdue、SAFECode、StackHawk 和 Trail of Bits 作為參與者加入。

La OpenSSF 是一個跨行業的協作 匯聚領導者以提高開源軟件的安全性 通過創建更廣泛的社區, 具體舉措 和最佳實踐。

的原因 這個項目的創作誕生了 來自對現代世界的研究 許多行業領域對開源軟件的需求量很大但由於開發細節的原因,其安全性受到依賴鍊和開發參與者的影響。

OpenSSF 是一項跨行業協作,匯集了領導者,通過建立具有具體舉措和最佳實踐的更廣泛社區來提高開源軟件 (OSS) 安全性。

因此, 確認開源項目的安全性, 不僅要檢查主代碼,還要檢查依賴項,這一點很重要, 以及代碼被項目接受的開發人員的身份識別以及審查和提交期間的可信身份驗證。

此外,安全性需要使用安全構建系統和構建驗證。

開源軟件已成為數據中心、消費設備和服務的主流,在技術人員和企業中體現了其價值。 

由於其開發過程,最終到達最終用戶的開源具有一系列貢獻者和依賴項。 重要的是,負責用戶或組織安全的人員能夠理解並驗證此依賴鏈的安全性。

OpenSSF 的工作將重點關注以下領域 如那個 協調披露漏洞信息 y 補丁分發,開發安全工具,發布安全開發組織的最佳實踐, 識別開源軟件的安全相關威脅, 執行審計工作並提高關鍵開源項目的安全性,創建工具來驗證開發人員的身份。

身份不明的開發人員造成的威脅包括攻擊者可能獲得維護者權利以進行惡意更改、複製帳戶以審查自己的代碼、冒充其他人或聲稱為某些公司工作。

Linux 基金會執行董事 Jim Zemlin 表示:“我們相信開源是一項公共利益,我們有責任團結起來,改善和支持我們所依賴的開源軟件的安全性。”

例如,身份識別問題包括將護送人員轉移給未經驗證的人員(前託管人僅通過電子郵件與其進行通信)後發生的事件流庫依賴性事件,或向第三方銷售插件和瀏覽器插件的大量實例。

終於 如果您想了解更多, 你可以在Linux基金會的原始出版物中查看詳細信息 在下面的鏈接中。

或者也 您可以訪問 OpenSSF 網站 在下面的鏈接中。


成為第一個發表評論

發表您的評論

您的電子郵件地址將不會被發表。 必填字段標有 *

*

*

  1. 負責數據:MiguelÁngelGatón
  2. 數據用途:控制垃圾郵件,註釋管理。
  3. 合法性:您的同意
  4. 數據通訊:除非有法律義務,否則不會將數據傳達給第三方。
  5. 數據存儲:Occentus Networks(EU)託管的數據庫
  6. 權利:您可以隨時限制,恢復和刪除您的信息。