Ua hoʻokumu ʻia ka papahana OpenSSF, e kālele ana i ka hoʻomaikaʻi ʻana i ka palekana o ka polokalamu open source.

Linux Foundation haʻiʻia ka о формировании нового совместного проекта OpenSSF (Open Source Security Foundation), призванного объединить работу ведущих представителей индустрии в области повышения безопасности открытого ПО. OpenSSF продолжит развитие таких инициатив, как Infrastructure Initiative и Open Source Security Coalition, а также объединит и другие связанные с безопасностью работы, предпринимаемые участниками проекта.

В число учредителей OpenSSF вошли такие компании, как GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, OWASP Foundation и Red Hat. В качестве участников присоединились компании GitLab, HackerOne, Intel, Uber, VMware, ElevenPaths, Okta, Purdue, SAFECode, StackHawk и Trail of Bits.

Отмечается, что в современном мире открытое ПО широко востребовано во многих областях индустрии, но в силу специфики разработки на его безопасность оказывает влияние цепочки из зависимостей и участников разработки. Поэтому для подтверждения безопасности открытых проектов важна верификация не только основного кода, но и зависимостей, а также идентификация разработчиков, чей код принимается в состав проекта, и надёжная аутентификация при рецензировании и коммитах. Кроме того, для обеспечения безопасности требуется применение защищённых сборочных систем и верификации сборок.

Работа OpenSSF будет сосредоточена в таких областях, как скоординированное hōʻike информации об уязвимостях и распространение исправлений, hoʻomohala инструментов для обеспечении безопасности, hoolaha ana лучших практик по безопасной организации разработки, ʻike ʻike связанных с безопасностью угроз в открытом ПО, paa ana работы по аудиту и усилению безопасности критически важных открытых проектов, создание средств для проверки идентичности разработчиков.

Source: opennet.ru