Фонд безопасности с открытым исходным кодом привлекает новые обязательства и продвигает ключевые инициативы за несколько недель после саммита по безопасности в Белом доме
САН-ФРАНЦИСКО, 1 марта 2022 г., Open Source Security Foundation (OpenSSF) — межотраслевая организация, базирующаяся в Linux Foundation и объединяющая самые важные мировые инициативы в области безопасности с открытым исходным кодом, сегодня объявила о том, что 20 новых организаций присоединились к OpenSSF, чтобы помочь выявить и устранять уязвимости безопасности в программном обеспечении с открытым исходным кодом и разрабатывать улучшенные инструменты, обучение, исследования, лучшие практики и методы раскрытия уязвимостей. Он также объявляет о последних достижениях в различных технических инициативах, все из которых подчеркивают межотраслевой импульс, возникающий в результате повышения осведомленности в связи с недавними инцидентами в области безопасности и после недавнего открытия Белого дома. Саммит по безопасности и недавние слушания в Конгрессе.
«Пришло время этому сообществу добиться реального прогресса в области безопасности программного обеспечения. Поскольку открытый исходный код является основой, на которой строится все программное обеспечение, работа, которую мы делаем в OpenSSF при участии компаний и отдельных лиц со всего мира, имеет основополагающее значение для этого прогресса», — сказал Брайан Белендорф, исполнительный директор OpenSSF. «У нас никогда не было такой поддержки или внимания к созданию, поддержке и защите программного обеспечения, которое лежит в основе всей нашей жизни, и мы рады быть нейтральным форумом, на котором это может произойти».
Обязательства для новых членов уровня Premier исходят от 1Password, Citi, Coinbase, Huawei Technologies, JFrog и Wipro. Обязательства новых общих участников исходят от Accuknox, Alibaba Cloud, Block, Inc, Blockchain Technology Partners, Catena Cyber, Chainguard, Cloudsmith, DeployHub, MongoDB, NCC Group, ReversingLabs, Spotify, Teleport и Wingtecher Technology. В число новых ассоциированных членов входят MITRE и OpenUK.
Эти обязательства были приняты после недавнего саммита по безопасности открытого исходного кода в Белом доме, на котором Linux Foundation и OpenSSF представляли сотни своих проектных сообществ и обсуждали, как лучше всего поддерживать безопасность программного обеспечения и состояние безопасности с открытым исходным кодом в будущем. Этот саммит стал важной вехой в сотрудничестве Linux Foundation с государственным сектором и подчеркнул его позицию, поддерживающую не только проекты, которые он размещает, но и всю наиболее важную в мире инфраструктуру с открытым исходным кодом.
С тех пор как в октябре OpenSSF объявила о своих первоначальных обязательствах , сообщество продолжало продвигать миссию OpenSSF. Некоторые избранные основные моменты включают:
Запуск Нового Проекта «Альфа-Омега» С Инвестициями В Размере 5 Млн Долларов Для Улучшения Состояния Безопасности OSS
OpenSSF также недавно анонсировала проект Alpha-Omega .улучшить состояние безопасности программного обеспечения с открытым исходным кодом (OSS) за счет прямого привлечения экспертов по безопасности программного обеспечения и автоматизированного тестирования безопасности. Первоначально он поддерживается Microsoft и Google с общими инвестициями в размере 5 миллионов долларов. Проект улучшает глобальную безопасность цепочки поставок OSS, работая с сопровождающими проекта над систематическим поиском новых, еще не обнаруженных уязвимостей в открытом исходном коде и их исправлением. «Альфа» будет работать с сопровождающими наиболее важных проектов с открытым исходным кодом, чтобы помочь им выявлять и устранять уязвимости безопасности и улучшать их состояние безопасности. «Омега» выявит не менее 10 000 широко развернутых проектов OSS, в которых она сможет применить автоматический анализ безопасности, оценку и рекомендации по исправлению для своих сообществ специалистов по сопровождению открытого исходного кода.
Автоматизированный Инструмент Безопасности, Scorecards, Увеличивает Число Сканирований С 50 000 До 1 Миллиона Проектов
Scorecards — это проект OpenSSF, который помогает пользователям с открытым исходным кодом понять риски зависимостей, которые они потребляют. Члены OpenSSF GitHub и Google недавно анонсировали Scorecards v4 , который включает Scorecards GitHub Workflow Action для автоматизации определения того, как изменения в проекте повлияли на его безопасность. Он также включает проверку лицензии для обнаружения наличия лицензии проекта и проверку Dangerous-Workflow для обнаружения опасного использования триггера pull_request_target и рисков внедрения скриптов в рабочие процессы GitHub .. Проект Scorecards также увеличил масштаб сканирования с 50 000 проектов до одного миллиона проектов. Эти программные проекты определяются как наиболее важные на основе количества их прямых зависимостей, что дает более подробное представление об экосистеме и повышает безопасность цепочки поставок, поскольку пользователи видят улучшенный охват своих зависимостей.
Project Sigstore Видит Огромный Вклад, Принятие Для Подписания, Проверки И Защиты OSS
Sigstore недавно выпустил обновление проекта, в котором сообщается о почти 500 участниках, 3000 коммитов и более миллиона записей в Rekor.
«Великий Дистрибутив MFA» Распространяет Коды Для Получения Бесплатных Аппаратных Токенов Безопасности Почти 1000 Ведущих Разработчиков OSS
Стремясь поощрить более широкое внедрение многофакторной аутентификации (MFA) разработчиками критически важных проектов с открытым исходным кодом, Рабочая группа по обеспечению безопасности критических проектов координировала распространение почти 1000 кодов для бесплатных токенов MFA (любезно предоставленных Google и Github) разработчикам. из 100 самых важных проектов с открытым исходным кодом. Это обращение — небольшой, но важный шаг в предотвращении атак на цепочку поставок, основанных на украденных учетных данных ключевых разработчиков.
Цитаты Премьер-Членов
1Пароль
«Мы гордимся тем, что находимся среди организаций и отдельных лиц, разделяющих коллективную приверженность делу повышения уровня безопасности программного обеспечения с открытым исходным кодом, — сказал Педро Канахуати, главный технический директор 1Password. «Большая часть технологий, которые мы используем сегодня, основана на программном обеспечении с открытым исходным кодом. Учитывая ориентированный на человека подход 1Password к созданию удобных для пользователя приложений, для нас важно, чтобы его целостность и безопасность были защищены».
Другие
«Безопасность программного обеспечения с открытым исходным кодом и его цепочки поставок является важным аспектом для Citi. Мы работали с сообществом открытого исходного кода над укреплением безопасности в этих областях, и мы надеемся усилить эту миссию, присоединившись к Open Source Security Foundation», — сказал Джонатан Медоуз, руководитель отдела разработки безопасности облачных вычислений и приложений Citibank.
Коинбейс
«Coinbase — самая надежная биржа криптовалют в мире, и безопасность наших зависимостей с открытым исходным кодом, а также более широкой криптоэкосистемы — имеет первостепенное значение. Цели OpenSSF совпадают с нашими собственными, и Coinbase гордится тем, что вносит свой вклад в повышение безопасности программного обеспечения с открытым исходным кодом на благо всех», — сказал Джордан Харбанд, инженер по связям с разработчиками, Coinbase.
Технологии Huawei
«Важность безопасности программного обеспечения с открытым исходным кодом хорошо известна заказчику, отрасли и правительству. Сообществу пора предпринять стратегические, непрерывные, эффективные и действенные действия для повышения уровня безопасности программного обеспечения с открытым исходным кодом. Мы очень рады, что OpenSSF запускает инициативы (Scorecard, Alpha-Omega, SigStore и т. д.) для непосредственного улучшения безопасности программного обеспечения с открытым исходным кодом», — сказал д-р Кай Чен, главный специалист по стратегии безопасности Huawei. «Huawei обязуется наращивать инвестиции в кибербезопасность и поддерживать глобальную, безопасную и отказоустойчивую цепочку поставок программного обеспечения с открытым исходным кодом».
ДжФрог
«Программное обеспечение с открытым исходным кодом является основой сегодняшних современных систем, на которых одинаково работают как предприятия, так и государственные организации, что делает программное обеспечение частью критической национальной инфраструктуры», — сказал Стивен Чин, вице-президент по связям с разработчиками, JFrog. «Для JFrog большая честь быть частью OpenSSF для ускорения инноваций и продвижения в области безопасности цепочки поставок. Проекты, выходящие из OpenSFF, помогают воплотить концепцию JFrog в области жидкого программного обеспечения в безопасную реальность».
Wipro
«По мере распространения программного обеспечения с открытым исходным кодом и его растущей важности в обеспечении инноваций и преобразований возникают соответствующие риски кибербезопасности. Сообществу нужны согласованные усилия для их решения. Мы рады присоединиться к руководящему совету OpenSSF, чтобы сотрудничать с другими членами в определении и создании набора решений и сред, а также лучших практик, чтобы помочь обеспечить целостность цепочки поставок программного обеспечения с открытым исходным кодом и поделиться нашим опытом в предметной области, широтой ресурсов и глобальным достичь этого важного усилия», — сказал Субха Татаварти, технический директор Wipro Limited.
Общие Цитаты Участников
Аккунокс
«При сдвиге влево внедрение инструментов и платформ безопасности под руководством DevSecOps под руководством разработчиков и подхода с использованием OpenSource является обязательным. Мы очень рады видеть, что OpenSSF запускает новаторские инициативы, чтобы помочь конечным пользователям и поставщикам технологий использовать возможности открытого исходного кода и вносить свой вклад в коллективный капитал знаний», — сказал Нат Натрадж, соучредитель и генеральный директор AccuKnox.
Облако Алибаба
«Программное обеспечение с открытым исходным кодом стало ключевой цепочкой поставок программного обеспечения для ИТ, а безопасность программного обеспечения с открытым исходным кодом оказывает огромное влияние на безопасность инфраструктуры. Alibaba Cloud, ведущий мировой поставщик облачных услуг, всегда уделяющий приоритетное внимание безопасности и конфиденциальности данных, продолжает инвестировать в исследования в области безопасности. В течение долгого времени общественность считала, что программное обеспечение с открытым исходным кодом очень безопасно из-за прозрачности, все разработчики программного обеспечения могут просматривать код, находить и устранять уязвимости. Но на самом деле существует много широко используемого программного обеспечения с открытым исходным кодом, в котором все еще могут быть ошибки безопасности, которые не замечались в течение длительного времени. Замечательно иметь такую организацию, как OpenSSF, которая может объединить так много замечательных компаний и сообществ с открытым исходным кодом для повышения безопасности с открытым исходным кодом для всех. Как член Open Source Security Foundation,
Блок, ООО
«Блок очень рад присоединиться к другим лидерам отрасли, чтобы помочь повысить качество безопасности с открытым исходным кодом. Я твердо верю, что для отрасли приоритетом является решение проблем безопасности в цепочке поставок, которую мы все используем. Мы можем конкурировать в продуктах, но мы никогда не должны конкурировать в безопасности, и OSSF — фантастический пример этой идеи», — сказал Джим Хиггинс, директор по информационным технологиям Block.
Партнеры по блокчейн-технологиям
«Программное обеспечение с открытым исходным кодом является основным и лежит в основе большей части критической мировой инфраструктуры, а также обеспечивает работу предприятий по всему миру. На этом фоне миссия OpenSSF по обеспечению безопасности цепочки поставок с открытым исходным кодом имеет основополагающее значение для нашего будущего», — сказал Дункан Джонстон-Ватт, генеральный директор и соучредитель Blockchain Technology Partners. «Сотрудничество является ключом к успеху OpenSSF, и поэтому мы рады внести свой вклад в эту инициативу, которая дополняет наше существующее участие в Hyperledger Foundation, CNCF и LF Energy».
Катена Кибер
«Открытый исходный код ведет к массовому обмену знаниями. Помимо количества информации, ее качество становится важным для того, чтобы приносить пользу обществу», — сказал Филипп Антуан, генеральный директор Catenacyber. «Мы рады присоединиться к OpenSSF, чтобы внести свой вклад в улучшение кибербезопасности проектов с открытым исходным кодом с помощью фаззинга и других средств. Давайте исправим все ошибки!»
Защита цепи
«Обеспечение безопасности жизненного цикла программного обеспечения по умолчанию становится все более важным, поскольку открытый исходный код стал цифровой основой мира. Для этой миссии необходима динамичная открытая экосистема безопасности программного обеспечения. Мы рады быть членами Open Source Security Foundation и продолжать работать с сообществом, чтобы сделать жизненный цикл программного обеспечения безопасным по умолчанию», — сказала Трейси Миранда, глава отдела открытого исходного кода в Chainguard.
Cloudsmith
«Наличие единого источника достоверной информации об артефактах программного обеспечения никогда не было так важно для цепочек поставок, особенно для сообщества разработчиков открытого исходного кода. Инженерам OSS нужны доверие и происхождение, а также надежный источник для безопасной сквозной доставки программного обеспечения, от сборки до производства. Наша миссия в Cloudsmith состоит в том, чтобы развивать облачную цепочку поставок, упрощая для сообщества OSS обеспечение масштабируемой доставки своего программного обеспечения с помощью непрерывной упаковки. Мы очень рады присоединиться к OpenSSF и с нетерпением ждем возможности стать частью продолжающейся миссии по повсеместному улучшению состояния безопасности программного обеспечения с открытым исходным кодом», — сказал Алан Карсон, генеральный директор Cloudsmith.
Деплойхаб
«В DeployHub мы сосредоточились на отслеживании потребления микросервисов, включая их версии. Эти отношения составляют нашу новую спецификацию программного обеспечения (SBOMS) на уровне приложений. Нет лучшего места для обсуждения цепочки поставок, чем OpenSSF», — объясняет Трейси Рэган, генеральный директор DeployHub.
MongoDB
«Поскольку все отрасли все больше полагаются на программное обеспечение с открытым исходным кодом для предоставления цифрового опыта, наша коллективная ответственность заключается в том, чтобы помочь поддерживать динамичную и безопасную экосистему», — сказала Лена Смарт, директор по информационной безопасности MongoDB. «У вас могут быть все инструменты в мире, но, в конце концов, люди из разных организаций по всему миру, работающие вместе, обеспечат обширную программу кибербезопасности. Одной из ценностей MongoDB является «Строим вместе», и мы рады присоединиться и продолжить межотраслевое сотрудничество, чтобы продвигать вперед безопасность программного обеспечения с открытым исходным кодом».
Группа НКЦ
«Даже если ваш код абсолютно безопасен, есть вероятность, что в нем есть уязвимые зависимости. И количество незакрытых уязвимостей «в дикой природе» превышает скорость, с которой сообщество безопасности может их исправить или даже идентифицировать. Безопасность в том виде, в каком она практикуется сейчас, не масштабируется со скоростью, необходимой для обеспечения хотя бы такой же безопасности, какой она была вчера, и у нас есть веские причины ожидать, что для защитников это станет еще хуже. Однако, привлекая целевые инвестиции и координируя общеотраслевые усилия по повышению безопасности наиболее важных компонентов с открытым исходным кодом и поиску масштабируемых вмешательств для всей экосистемы, у нас есть возможность повысить безопасность программного обеспечения в массовом масштабе. Но мы можем сделать это только вместе, и именно по этой причине NCC Group рада внести свой вклад в работу OpenSSF,
ReversingLabs
«Цепочка поставок программного обеспечения стала основным вектором риска для новых угроз, в том числе из экосистемы с открытым исходным кодом. Зависимости и сложности, присущие современной цепочке поставок программного обеспечения, означают, что компаниям часто не хватает прозрачности и возможности отслеживать каждый компонент на протяжении всего процесса разработки программного обеспечения. Признавая эти проблемы, ReversingLabs рада присоединиться к OpenSSF и предложить свой вклад сообществу, который поможет автоматизировать более полные спецификации программного обеспечения и снизить риски цепочки поставок программного обеспечения и выпуска пакетов», — сказал Марио Вуксан, генеральный директор и соучредитель. , РеверсингЛабс.
Спотифай
«Как техническое сообщество, мы все несем ответственность за повышение безопасности и доверия к экосистеме с открытым исходным кодом, на которую полагаются многие из нас. Spotify всегда полагался на программное обеспечение с открытым исходным кодом и вносит свой вклад в сообщество через такие проекты, как Backstage. Мы считаем, что программное обеспечение с открытым исходным кодом составляет основу нашей отрасли, и мы с нетерпением ждем возможности поддержать цель фонда — обеспечить, чтобы каждый мог полагаться на здоровую и безопасную программную экосистему», — сказал Тайсон Сингер, вице-президент, руководитель отдела технологий и платформ Spotify.
Телепорт
«Сложность современной инфраструктуры расширила зоны атаки до такой степени, что утечка данных стала почти повседневным явлением», — сказал Эв Концевой, генеральный директор Teleport . «Эти риски усугубляются распространением удаленных и гибридных рабочих мест. Принимая во внимание глобальные атаки, приверженность сообщества открытого исходного кода повышению безопасности открытого исходного кода имеет решающее значение для открытия новой эры вычислений. Предлагая решение для повышения безопасности, упрощения использования и помощи в масштабировании корпоративного доступа для разработки, Teleport рада стать частью OpenSSF».
Вингтехер Технология
«Как быстрорастущий стартап, Wingtecher фокусируется на изучении технологий, которые защищают различные виды программного обеспечения с открытым исходным кодом. Мы рады присоединиться к OpenSSF и готовы сотрудничать с сообществом, чтобы преодолеть возникающие проблемы безопасности с открытым исходным кодом во всем мире», — сказал Винсент Ли, главный операционный директор Wingtecher Technology.
О OpenSSF
OpenSSF (запущен в августе 2020 г.), организованный Linux Foundation, представляет собой межотраслевую организацию, которая объединяет наиболее важные отраслевые инициативы в области безопасности с открытым исходным кодом, а также отдельных лиц и компании, которые их поддерживают. Он объединяет Инициативу основной инфраструктуры Linux Foundation (CII), основанную в ответ на ошибку Heartbleed 2014 года, и Коалицию по безопасности открытого исходного кода, основанную Лабораторией безопасности GitHub для создания сообщества для поддержки безопасности открытого исходного кода на десятилетия вперед. OpenSSF стремится к сотрудничеству и работе как с вышестоящими, так и с существующими сообществами для повышения безопасности открытого исходного кода для всех.