Linux Foundation створила новий колективний проєкт — Open Source Security Foundation (OpenSSF). Він має об'єднати лідерів галузі, аби покращити рівень безпеки відкритого ПЗ.
До організації долучились Core Infrastructure Initiative (CII), Open Source Security Coalition та компанії, дотичні до open-source: GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, OWASP Foundation, Red Hat. Також учасниками стали ElevenPaths, GitLab, HackerOne, Intel, Okta, Purdue, SAFECode, StackHawk, Trail of Bits, Uber і VMware.
Зазначено, що відкритим ПЗ зараз активно послуговуються в багатьох галузях: у центрах обробки даних, під час створення нових пристроїв, сервісів тощо. Тому важливо, щоб ті, хто відповідає за безпеку програми для кінцевого користувача, могли перевірити весь ланцюжок залежностей і учасників розробки.
Тож поки OpenSSF зосередиться на таких напрямках:
- пошуку і виправленні вразливостей у проєктах з відкритим кодом;
- розробці інструментів безпеки;
- створенні рекомендацій і найкращих практик безпеки;
- захисті критично важливих проєктів;
- ідентифікації розробників.
Щодо останнього: в організації вважають, що перевіряти потрібно не лише основний код, а й всі залежності та розробників, які цей код пишуть. Більше про цей процес можна прочитати тут.
OpenSSF матиме відкриту структуру управління, що складатиметься з ради керівників (GB), технічної консультативної групи (TAC) та окремих груп для нагляду за кожним проєктом. Напрацювання OpenSSF будуть публікуватися у репозиторії на GitHub.
Ще немає коментарів