В понедельник Linux Foundation объявил о создании Open Source Security Foundation (OpenSSF) в качестве последней инициативы по повышению безопасности программного обеспечения.
OpenSSF — это межотраслевое сотрудничество, которое объединяет лидеров отрасли с целью повышения безопасности программного обеспечения с открытым исходным кодом путем создания более широкого сообщества с целевыми инициативами и передовыми методами. Он объединяет усилия Core Infrastructure Initiative и GitHub Open Source Security Coalition.
Новая основа безопасности также включает в себя другие работы по обеспечению безопасности с открытым исходным кодом от членов правления-учредителей GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, OWASP Foundation, Red Hat и других. Дополнительные члены-учредители включают ElevenPaths, GitLab, HackerOne, Intel, Purdue, SAFEcode, StackHawk, Trail of Bits, Uber и VMware.
В состав OpenSSF входят наиболее важные отраслевые инициативы по обеспечению безопасности с открытым исходным кодом, а также отдельные лица и компании, которые их поддерживают. Инициатива Core Infrastructure Initiative (CII) Linux Foundation, основанная в ответ на ошибку Heartbleed в 2014 году, и Open Source Security Coalition, основанная лабораторией безопасности GitHub, — это лишь два из проектов, которые будут объединены в рамках нового OpenSSF.
Руководство, техническое сообщество Фонда и его решения будут прозрачными, а любые разрабатываемые спецификации и проекты не зависят от поставщиков, согласно LF. OpenSSF стремится к сотрудничеству и работе как с разработчиками, так и с существующими сообществами, чтобы продвигать безопасность с открытым исходным кодом для всех.
Программное обеспечение с открытым исходным кодом стало широко использоваться в центрах обработки данных, потребительских устройствах и службах. Его технологии используют как технологи, так и предприятия.
Содержание статьи
Cross-Industry Endeavour
Из-за процесса разработки открытый исходный код, который в конечном итоге достигает конечных пользователей, имеет цепочку участников и зависимостей. По словам официальных лиц LF при описании потребности в этой новой инициативе, важно, чтобы лица, ответственные за безопасность своих пользователей или организации, были в состоянии понять и проверить безопасность этой цепочки зависимостей.
«Мы считаем, что открытый исходный код является общественным благом, и во всех отраслях мы обязаны объединиться, чтобы улучшить и поддержать безопасность программного обеспечения с открытым исходным кодом, от которого мы все зависим», — сказал Джим Землин, исполнительный директор Linux Фонд.
«Обеспечение безопасности с открытым исходным кодом — одна из самых важных вещей, которую мы можем сделать, и она требует, чтобы все мы во всем мире помогали в этих усилиях. OpenSSF предоставит этот форум для действительно совместных межотраслевых усилий. , — добавил он.
Организационная структура OpenSSF построена на открытой структуре управления и включает в себя управляющий совет, технический консультативный совет и отдельный надзор для каждой рабочей группы и проекта.
OpenSSF намеревается провести множество технических инициатив с открытым исходным кодом для поддержки безопасности наиболее важного в мире программного обеспечения с открытым исходным кодом, все из которых будут реализованы в открытом доступе на GitHub.
Расширение, а не намерение
У LF уже есть многочисленные подгруппы и специализированные сообщества под своей эгидой. По словам Криса Анищика, вице-президента по стратегическим программам и программам разработки Linux Foundation, намерение состоит не в том, чтобы создавать еще один.
«Речь идет не столько о создании новой организации, сколько о консолидации нескольких усилий в отрасли и LF», — сказал он LinuxInsider.
Инициатива по основной инфраструктуре финансировалась в основном за счет грантов. Он пояснил, что OpenSSF будет поддерживаться членскими взносами Linux Foundation с целевым вкладом организаций в поддержку инициатив. CII планирует внести ресурсы и опыт в OpenSSF и планирует проработать свой процесс утверждения проектов под руководством OpenSSF TAC для желаемых проектов.
Организация находится в процессе самонастройки, поэтому в первую очередь необходимо провести в этом месяце первые заседания правления, технического совета и рабочих групп. По его словам, лучший способ принять участие — это посетить одну из встреч Рабочей группы.
План игры
OpenSSF будет проводить агрессивный первый набор действий, — отметил Анищик. Повестка дня предусматривает шесть основных действий.
Своевременное раскрытие уязвимостей — это видение экосистемы программного обеспечения с открытым исходным кодом. Время для устранения уязвимости и ее развертывания в экосистеме необходимо измерять минутами, а не месяцами. С этой целью OpenSSF хочет создать унифицированный формат и API для отчетности об уязвимостях и скоординированного раскрытия информации, чтобы обеспечить широкое распространение.
Инструменты безопасности — это основная задача. Цель — предоставить лучшие инструменты безопасности для разработчиков с открытым исходным кодом и сделать их общедоступными.
«Мы хотим создать пространство, в котором участники могут сотрудничать друг с другом, чтобы улучшить существующие инструменты безопасности и разработать новые, отвечающие потребностям более широкого сообщества открытого исходного кода», — сказал Анищик.
Еще одна важная цель — выявление угроз безопасности для проектов с открытым исходным кодом. Это позволит заинтересованным сторонам обрести уверенность в безопасности проектов с открытым исходным кодом.
Соответствие ожиданиям
Группа надеется достичь этой цели путем определения набора ключевых показателей и создания инструментов (API, веб-интерфейс) для передачи этих показателей заинтересованным сторонам. Это позволит заинтересованным сторонам лучше понять состояние безопасности отдельных компонентов с открытым исходным кодом, добавил Анищик.
Три другие цели OpenSSF — предоставить разработчикам с открытым исходным кодом передовые методы безопасности. Во-вторых, для обеспечения безопасности критически важных проектов будут созданы группы аудита, проверки, реагирования, улучшения и практическая тактическая работа. В-третьих, помощь проектам в проверке личности в цепочке поставок программного обеспечения может привести к созданию программы проверки личности разработчика.
Важная инициатива
Эта инициатива очень важна, согласился Роб Эндерле, президент и главный аналитик Enderle Group. Это демонстрирует, что LF и OpenSSF серьезно относятся к этим угрозам и принимают меры для борьбы с ними.
Эндерле отметил, что, учитывая растущее количество усилий по обеспечению безопасности программного обеспечения с открытым исходным кодом, существует вероятность того, что слишком много будет мешать всем остальным.
"Но эти усилия должны помочь им преодолеть путаницу, чтобы найти решение, потому что оно стимулирует сотрудничество. Так что, хотя это может показаться дополнительным с точки зрения сложности, если они будут выполнять план, это должно вынудить избыточные усилия к этому. , что в конечном итоге упростит работу и повысит ее шансы на успех », — сказал он LinuxInsider. 
