Учреждён проект OpenSSF, сфокусированный на повышении безопасности открытого ПО

Организация Linux Foundation объявила о формировании нового совместного проекта OpenSSF (Open Source Security Foundation), призванного объединить работу ведущих представителей индустрии в области повышения безопасности открытого ПО. OpenSSF продолжит развитие таких инициатив, как Infrastructure Initiative и Open Source Security Coalition, а также объединит и другие связанные с безопасностью работы, предпринимаемые участниками проекта.

В число учредителей OpenSSF вошли такие компании, как GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, OWASP Foundation и Red Hat. В качестве участников присоединились компании GitLab, HackerOne, Intel, Uber, VMware, ElevenPaths, Okta, Purdue, SAFECode, StackHawk и Trail of Bits.

Отмечается, что в современном мире открытое ПО широко востребовано во многих областях индустрии, но в силу специфики разработки на его безопасность оказывает влияние цепочки из зависимостей и участников разработки. Поэтому для подтверждения безопасности открытых проектов важна верификация не только основного кода, но и зависимостей, а также идентификация разработчиков, чей код принимается в состав проекта, и надёжная аутентификация при рецензировании и коммитах. Кроме того, для обеспечения безопасности требуется применение защищённых сборочных систем и верификации сборок.

Работа OpenSSF будет сосредоточена в таких областях, как скоординированное раскрытие информации об уязвимостях и распространение исправлений, разработка инструментов для обеспечении безопасности, публикация лучших практик по безопасной организации разработки, выявление связанных с безопасностью угроз в открытом ПО, проведение работы по аудиту и усилению безопасности критически важных открытых проектов, создание средств для проверки идентичности разработчиков.

Источник: opennet.ru