Fondazione Linux sulla formazione di un nuovo progetto comune (Open Source Security Foundation), progettato per unire il lavoro dei principali rappresentanti del settore nel campo del miglioramento della sicurezza del software open source. OpenSSF continuerà a sviluppare iniziative come и e combinerà anche altri lavori legati alla sicurezza intrapresi dai partecipanti al progetto.
I fondatori di OpenSSF includevano aziende come , , IBM, JPMorgan Chase, , Gruppo NCC, Fondazione OWASP e Red Hat. GitLab, HackerOne, Intel, Uber, VMware, ElevenPaths, Okta, Purdue, SAFECode, StackHawk e Trail of Bits si sono uniti come partecipanti.
Va notato che nel mondo moderno il software open source è ampiamente richiesto in molte aree del settore, ma a causa delle specificità dello sviluppo, la sua sicurezza è influenzata da una catena di dipendenze e partecipanti allo sviluppo. Pertanto, per confermare la sicurezza dei progetti open source, è importante verificare non solo il codice principale, ma anche le dipendenze, nonché l'identificazione degli sviluppatori il cui codice è accettato nel progetto e l'autenticazione affidabile durante le revisioni e i commit. Inoltre, garantire la sicurezza richiede l'uso di sistemi di assemblaggio sicuri e di verifica dell'assemblaggio.
Il lavoro di OpenSSF si concentrerà su aree come quella coordinata informazioni sulle vulnerabilità e distribuzione delle correzioni, strumenti di sicurezza, migliori pratiche per un’organizzazione di sviluppo sicuro, minacce legate alla sicurezza nel software open source, lavorare sull'auditing e sul rafforzamento della sicurezza dei progetti open source critici, creando strumenti di controllo .
Fonte: opennet.ru