La Fundación Linux ha lanzado un nuevo proyecto de colaboración diseñado para abordar las vulnerabilidades de seguridad en el software de código abierto, que reúne a algunos de los jugadores más influyentes en la tecnología. La Open Source Security Foundation (OpenSSF) verá a los miembros fundadores, incluidos Microsoft, Github, Google, IBM, Red Hat y JPMorgan, combinar sus recursos para abordar diversos desafíos de seguridad específicos del ecosistema de código abierto. La nueva entidad reunirá varias iniciativas superpuestas, incluida la Coalición de Seguridad de Código Abierto (OSSC) y la Iniciativa de Infraestructura Central (CII), que ahora operará bajo el paraguas de OpenSSF. CII ya cuenta con el soporte de AWS, Cisco, Qualcomm, Intel y más (además del soporte de los miembros fundadores de OpenSSF). La principal diferencia, según el nuevo modelo, es que el proyecto no se basará exclusivamente en subvenciones, sino que también será financiado parcialmente por sub-miembros de la Fundación Linux.
Seguridad de software de código abierto
Según Mark Russinovich, CTO de Microsoft Azure, el nuevo proyecto permitirá a sus miembros navegar mejor las consideraciones de seguridad específicas del ecosistema de código abierto. “El software de código abierto es inherentemente impulsado por la comunidad y, como tal, no hay una autoridad central responsable de la calidad y el mantenimiento. Como el código fuente abierto se puede copiar y clonar, la gestión de versiones y las dependencias son particularmente complejas ”, escribió en una publicación de blog. “El software de código abierto también es vulnerable a los ataques contra la naturaleza misma de la comunidad, como los atacantes que se convierten en mantenedores de proyectos e introducen malware. Dada la complejidad y la naturaleza comunitaria del software de código abierto, la creación de una mejor seguridad también debe ser un proceso impulsado por la comunidad. " Dada esta complejidad, la nueva iniciativa se divide en cinco grupos de trabajo, cada uno responsable de un aspecto distinto de la seguridad de código abierto:- Divulgaciones de vulnerabilidad
- Strumenti di sicurezza
- Identificar amenazas a proyectos de código abierto.
- Migliori pratiche di sicurezza
- Asegure proyectos críticos