Organisation de la Fondation Linux sur la formation d'un nouveau projet commun (Open Source Security Foundation), conçue pour fédérer les travaux des principaux représentants de l'industrie dans le domaine de l'amélioration de la sécurité des logiciels open source. OpenSSF continuera à développer des initiatives telles que и , et combinera également d'autres travaux liés à la sécurité entrepris par les participants au projet.
Les fondateurs d'OpenSSF comprenaient des sociétés telles que , , IBM, JPMorgan Chase, , Groupe NCC, Fondation OWASP et Red Hat. GitLab, HackerOne, Intel, Uber, VMware, ElevenPaths, Okta, Purdue, SAFECode, StackHawk et Trail of Bits se sont joints en tant que participants.
Il est à noter que dans le monde moderne, les logiciels open source sont très demandés dans de nombreux domaines de l'industrie, mais en raison des spécificités du développement, leur sécurité est influencée par une chaîne de dépendances et d'acteurs du développement. Par conséquent, pour confirmer la sécurité des projets open source, il est important de vérifier non seulement le code principal, mais également les dépendances, ainsi que l'identification des développeurs dont le code est accepté dans le projet et une authentification fiable lors des révisions et des validations. De plus, assurer la sécurité nécessite l’utilisation de systèmes d’assemblage sécurisés et la vérification de l’assemblage.
Le travail d'OpenSSF se concentrera sur des domaines tels que la coordination des informations sur les vulnérabilités et la distribution des correctifs, outils de sécurité, bonnes pratiques pour une organisation de développement sûre, menaces liées à la sécurité dans les logiciels open source, travailler sur l'audit et le renforcement de la sécurité des projets open source critiques, en créant des outils de vérification .
Source: opennet.ru