OpenSSF: un proyecto enfocado en mejorar la seguridad del software de código abierto

La Fundación Linux ha anunciado la formación de un nuevo proyecto llamado «OpenSSF» (Open Source Security Foundation) el cual tiene como objetivo principal el reunir el trabajo de los líderes de la industria en el campo de la mejora de la seguridad del software de código abierto.

Con ello OpenSSF continuará desarrollando iniciativas como la Infrastructure Initiative y Open Source Security Coalition (Iniciativa de Infraestructura Central y la Coalición de Seguridad de Código Abierto) y reunirá otros trabajos relacionados con la seguridad que están llevando a cabo las empresas que se han unido al proyecto.

Los miembros fundadores de OpenSSF incluyen GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, OWASP Foundation y Red Hat.

Mientras que por su parte GitLab, HackerOne, Intel, Uber, VMware, ElevenPaths, Okta, Purdue, SAFECode, StackHawk y Trail of Bits se unieron como participantes.

La OpenSSF es una colaboración entre industrias que reúne a líderes para mejorar la seguridad del software de código abierto mediante la creación de una comunidad más amplia, iniciativas específicas y mejores prácticas.

La razón de la creación de este proyecto nace a partir del estudio del mundo moderno en el que el software de código abierto tiene una gran demanda en muchas áreas de la industria, pero debido a los detalles del desarrollo, su seguridad está influenciada por cadenas de dependencias y participantes en el desarrollo.

OpenSSF es una colaboración entre industrias que reúne a líderes para mejorar la seguridad del software de código abierto (OSS) mediante la construcción de una comunidad más amplia con iniciativas específicas y mejores prácticas.

Por lo tanto, para confirmar la seguridad de los proyectos de código abierto, es importante verificar no solo el código principal, sino también las dependencias, así como la identificación de los desarrolladores cuyo código es aceptado en el proyecto y la autenticación confiable durante la revisión y el compromiso.

Además, la seguridad requiere el uso de sistemas de compilación seguros y verificación de compilación.

El software de código abierto se ha generalizado en los centros de datos, dispositivos de consumo y servicios, lo que representa su valor entre tecnólogos y empresas por igual. 

Debido a su proceso de desarrollo, el código abierto que finalmente llega a los usuarios finales tiene una cadena de contribuyentes y dependencias. Es importante que los responsables de la seguridad de su usuario u organización puedan comprender y verificar la seguridad de esta cadena de dependencia.

El trabajo de OpenSSF se concentrará en áreas tales como la divulgación coordinada de información de vulnerabilidad y distribución de parches, el desarrollo de herramientas para la seguridad, la publicación de mejores prácticas para la organización de desarrollo segura, identificar amenazas relacionadas con la seguridad para el software de código abierto, realizar el trabajo de la Auditoría y aumentar la seguridad de las críticas proyectos de código abierto, creando herramientas para verificar la identidad de los desarrolladores.

Entre las amenazas causadas por la falta de identificación de los desarrolladores, se menciona la posibilidad de que un atacante obtenga derechos de mantenedor para realizar cambios maliciosos, duplicar cuentas para revisar su propio código, se menciona la participación de impostores haciéndose pasar por otras personas o reclamando trabajo para ciertas compañías.

«Creemos que el código abierto es un bien público y en todas las industrias tenemos la responsabilidad de unirnos para mejorar y respaldar la seguridad del software de código abierto del que todos dependemos», dijo Jim Zemlin, director ejecutivo de The Linux Foundation.

Por ejemplo, los problemas de identificación incluyen un incidente con una dependencia de la biblioteca de flujo de eventos después de transferir una escolta a una persona no verificada con la que el antiguo responsable se comunicó solo por correo electrónico, o numerosos casos de venta de complementos y complementos del navegador a terceros.

Finalmente si quieres conocer mas al respecto, puedes consultar los detalles en la publicación original de la Linux Fundation en el siguiente enlace.

O también puedes visitar el sitio web de la OpenSSF en el siguiente enlace.



from Desde Linux https://ift.tt/33D8VA7
via IFTTT

No hay comentarios.:

Publicar un comentario