Linux Foundation о формировании нового совместного проекта (Open Source Security Foundation), призванного объединить работу ведущих представителей индустрии в области повышения безопасности открытого ПО. OpenSSF продолжит развитие таких инициатив, как и , а также объединит и другие связанные с безопасностью работы, предпринимаемые участниками проекта.
В число учредителей OpenSSF вошли такие компании, как , , IBM, JPMorgan Chase, , NCC Group, OWASP Foundation и Red Hat. В качестве участников присоединились компании GitLab, HackerOne, Intel, Uber, VMware, ElevenPaths, Okta, Purdue, SAFECode, StackHawk и Trail of Bits.
Отмечается, что в современном мире открытое ПО широко востребовано во многих областях индустрии, но в силу специфики разработки на его безопасность оказывает влияние цепочки из зависимостей и участников разработки. Поэтому для подтверждения безопасности открытых проектов важна верификация не только основного кода, но и зависимостей, а также идентификация разработчиков, чей код принимается в состав проекта, и надёжная аутентификация при рецензировании и коммитах. Кроме того, для обеспечения безопасности требуется применение защищённых сборочных систем и верификации сборок.
Работа OpenSSF будет сосредоточена в таких областях, как скоординированное информации об уязвимостях и распространение исправлений, инструментов для обеспечении безопасности, лучших практик по безопасной организации разработки, связанных с безопасностью угроз в открытом ПО, работы по аудиту и усилению безопасности критически важных открытых проектов, создание средств для проверки .
Heimild: opennet.ru