В понедельник Linux Foundation объявила о создании Open Source Security Foundation (OpenSSF) как последней инициативы по повышению безопасности программного обеспечения.
OpenSSF — это межотраслевое сотрудничество, которое объединяет лидеров отрасли для повышения безопасности программного обеспечения с открытым исходным кодом путем создания более широкого сообщества с целевыми инициативами и передовыми методами. Он объединяет усилия Core Infrastructure Initiative и GitHub's Open Source Security Coalition.
Новый фонд безопасности также включает в себя другую работу по обеспечению безопасности с открытым исходным кодом от основателей GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC. Group, OWASP Foundation и Red Hat, среди прочих. Дополнительные члены-учредители включают ElevenPaths, GitLab, HackerOne, Intel, Purdue, SAFEcode, StackHawk, Trail of Bits, Uber и VMware.
Членские ряды OpenSSF объединяют самые важные отраслевые инициативы в области безопасности с открытым исходным кодом и отдельных лиц и компании, которые их поддерживают. Инициатива Core Infrastructure Initiative (CII) Linux Foundation, основанная в ответ на ошибку Heartbleed в 2014 году, и Open Source Security Coalition, основанная лабораторией безопасности GitHub, — это лишь два из проектов, которые будут объединены в рамках нового OpenSSF.
Управление, техническое сообщество Фонда и его решения будут прозрачными, а любые разрабатываемые спецификации и проекты не будут зависеть от поставщиков, согласно LF. OpenSSF стремится к сотрудничеству и работе как с апстримом, так и с существующими сообществами для продвижения безопасности с открытым исходным кодом для всех.
Программное обеспечение с открытым исходным кодом стало широко использоваться в центрах обработки данных, потребительских устройствах и сервисах. Его технология используется как технологами, так и предприятиями.
Содержание статьи
Cross-Industry Endeavour
Из-за процесса разработки открытый исходный код, который в конечном итоге достигает конечных пользователей, имеет цепочку участников и зависимостей. По словам официальных лиц LF при описании потребности в этой новой инициативе, важно, чтобы лица, ответственные за безопасность своих пользователей или организации, могли понять и проверить безопасность этой цепочки зависимостей.
«Мы верим в открытый исходный код. — это общественное благо, и во всех отраслях мы обязаны объединиться для улучшения и поддержки безопасности программного обеспечения с открытым исходным кодом, от которого мы все зависим », — сказал Джим Землин, исполнительный директор Linux Foundation.
«Обеспечение безопасности открытого исходного кода — одна из самых важных вещей, которую мы можем сделать, и для этого требуется, чтобы все мы во всем мире помогали нам в этом. OpenSSF предоставит этот форум для действительно совместных межотраслевых усилий », — добавил он.
Организационная структура OpenSSF построена на открытой структуре управления и включает в себя управляющий совет, технический консультативный совет и отдельный надзор для каждой рабочей группы и проекта.
OpenSSF намеревается проводить различные технические инициативы с открытым исходным кодом для поддержки безопасности самого важного в мире программного обеспечения с открытым исходным кодом, причем все они будут осуществляться в открытом виде. GitHub.
Расширение, а не намерение
LF уже имеет множество подгрупп и специализированные сообщества под его эгидой. По словам Криса Анищика, вице-президента по стратегическим программам и программам разработки в Linux Foundation, намерение состоит не в том, чтобы создавать еще одну.
«Речь идет не столько о создании новой организации, сколько о консолидации нескольких усилий в отрасли и LF. — сказал он LinuxInsider.
Инициатива по основной инфраструктуре финансировалась в основном за счет грантов. Он пояснил, что OpenSSF будет поддерживаться членскими взносами Linux Foundation с целевым вкладом организаций в поддержку инициатив. CII планирует внести ресурсы и опыт в OpenSSF и планирует проработать свой процесс утверждения проектов под руководством OpenSSF TAC для желаемых проектов.
Организация находится в начальной стадии, так что первоочередное дело бизнеса — это первое управление заседания правления, технического совета и рабочих групп в этом месяце. По его словам, лучший способ принять участие — это посетить одно из собраний рабочей группы.
План игры
OpenSSF будет проводить агрессивную первую группу действий, — отметил Анищик. Повестка дня включает шесть основных действий.
Своевременное раскрытие уязвимостей — это видение экосистемы программного обеспечения с открытым исходным кодом. Время для устранения уязвимости и ее развертывания в экосистеме необходимо измерять минутами, а не месяцами. С этой целью OpenSSF хочет создать унифицированный формат и API для отчетности об уязвимостях и скоординированного раскрытия информации, чтобы обеспечить широкое распространение.
Инструменты безопасности являются основной задачей. Цель состоит в том, чтобы предоставить лучшие инструменты безопасности для разработчиков с открытым исходным кодом и сделать их общедоступными.
«Мы хотим создать пространство, где участники могут совместно работать над улучшением существующих инструментов безопасности и разрабатывать новые, подходящие для потребности более широкого сообщества открытого исходного кода », — сказал Анищик.
Выявление угроз безопасности для проектов с открытым исходным кодом — еще одна важная цель. Это позволит заинтересованным сторонам обрести уверенность в безопасности проектов с открытым исходным кодом.
Соответствие ожиданиям
Группа надеется достичь этой цели путем определения набора ключевых показателей и создания инструментов (API , веб-интерфейс), чтобы сообщить эти показатели заинтересованным сторонам. Это позволит заинтересованным сторонам лучше понять состояние безопасности отдельных компонентов с открытым исходным кодом, добавил Анишчик.
Три другие цели OpenSSF — предоставить передовые методы безопасности для разработчиков с открытым исходным кодом. Во-вторых, для обеспечения безопасности критически важных проектов будут созданы группы аудита, проверки, реагирования, улучшения и практическая тактическая работа. В-третьих, помощь проектам в проверке личности в цепочке поставок программного обеспечения может привести к созданию программы проверки личности разработчика.
Важная инициатива
Эта инициатива очень важна, согласился Роб Эндерле, президент и главный аналитик. в Enderle Group. Это демонстрирует, что LF и OpenSSF серьезно относятся к этим угрозам и резко активизируют борьбу с ними.
Эндерле отметил, что, учитывая растущее количество совместных усилий по обеспечению безопасности программного обеспечения с открытым исходным кодом, существует потенциал для слишком многих, которые мешают всем остальным.
«Но эти усилия должны помочь им преодолеть путаницу, чтобы найти решение, потому что это способствует сотрудничеству. Так что, хотя это может показаться дополнительным с точки зрения сложности, если они будут выполняться в соответствии с планом, это должно заставить избыточные усилия сосредоточиться на этом, что в конечном итоге упростит усилия и повысит вероятность их успеха », — сказал он LinuxInsider.
