Основан е проектот OpenSSF, фокусиран на подобрување на безбедноста на софтверот со отворен код.

Фондација Линукс објави о формировании нового совместного проекта OpenSSF (Open Source Security Foundation), призванного объединить работу ведущих представителей индустрии в области повышения безопасности открытого ПО. OpenSSF продолжит развитие таких инициатив, как Infrastructure Initiative и Open Source Security Coalition, а также объединит и другие связанные с безопасностью работы, предпринимаемые участниками проекта.

В число учредителей OpenSSF вошли такие компании, как GitHub, Google, IBM, JPMorgan Chase, Мајкрософт, NCC Group, OWASP Foundation и Red Hat. В качестве участников присоединились компании GitLab, HackerOne, Intel, Uber, VMware, ElevenPaths, Okta, Purdue, SAFECode, StackHawk и Trail of Bits.

Отмечается, что в современном мире открытое ПО широко востребовано во многих областях индустрии, но в силу специфики разработки на его безопасность оказывает влияние цепочки из зависимостей и участников разработки. Поэтому для подтверждения безопасности открытых проектов важна верификация не только основного кода, но и зависимостей, а также идентификация разработчиков, чей код принимается в состав проекта, и надёжная аутентификация при рецензировании и коммитах. Кроме того, для обеспечения безопасности требуется применение защищённых сборочных систем и верификации сборок.

Работа OpenSSF будет сосредоточена в таких областях, как скоординированное откривање информации об уязвимостях и распространение исправлений, развој инструментов для обеспечении безопасности, објавување лучших практик по безопасной организации разработки, идентификација связанных с безопасностью угроз в открытом ПО, држи работы по аудиту и усилению безопасности критически важных открытых проектов, создание средств для проверки идентичности разработчиков.

Извор: opennet.ru