SAN FRANCISCO, 17. August 2022 — Das Open-Source-Sicherheitsstiftung (OpenSSF), eine branchenübergreifende Organisation der Linux Foundation, die die weltweit wichtigsten Initiativen zur Sicherheit der Software-Lieferkette zusammenbringt, gab am Mittwoch 13 neue Mitglieder aus den Bereichen Finanzdienstleistungen, Technologie, Beschäftigung, Softwareentwicklung, Cybersicherheit, Telekommunikation usw. bekannt akademische Bereiche.
Neues Premier-Mitglied, Capital One, tritt dem OpenSSF-Verwaltungsrat bei. Neue allgemeine Mitgliederzusagen kommen von Akamai, Indeed, Kasten by Veeam, Scantist, SHE BASH, Socket Security, Sysdig, Timesys und ZTE Corporation. Zu den neuen assoziierten Mitgliedern gehören die Eclipse Foundation, die Purdue University und die TODO Group. „Wir freuen uns, neue Mitglieder im OpenSSF begrüßen zu dürfen“, sagt Brian Behlendorf, General Manager von OpenSSF. „Da Sicherheitslücken in Open-Source-Software weiterhin die Aufmerksamkeit von Regierungen und Unternehmen auf der ganzen Welt auf sich ziehen, ist das Interesse an der Arbeit des OpenSSF rapide gestiegen.“
„Eine wachsende Gemeinschaft von Organisationen, Entwicklern, Forschern und Sicherheitsexperten investiert die nötige Zeit und Ressourcen, um die Open-Source-Sicherheit zu stärken“, sagte Jamie Thomas, Vorstandsvorsitzender von OpenSSF und IBM Enterprise Security Executive. „Neue Mitglieder von OpenSSF treten zu einer Zeit bei, in der branchenübergreifende Zusammenarbeit und Innovation mehr denn je erforderlich sind, um proaktiv auf allgegenwärtige Bedrohungen der Cybersicherheit zu reagieren.“
Die Lösung der systemischen Probleme, die zu großen Sicherheitslücken wie dem Log4shell-Vorfall geführt haben, unterstreicht die Dringlichkeit und Bedeutung der Arbeit von OpenSSF. In einem aktuellen Bericht des Cyber Safety Review Board wurde erklärt, dass Log4j zu einer „endemischen Schwachstelle“ geworden sei, die noch viele Jahre lang ausgenutzt werden werde, und dass die 10-Punkte-Mobilisierungsplan Die Anfang des Jahres auf dem Open Source Software Security Summit II von der OpenSSF eingeführte Lösung wird die Ausfallsicherheit und Sicherheit von Open-Source-Software verbessern.
OpenSSF wird am Dienstag, den 13. September, einen ganzen Tag voller Sitzungen veranstalten OpenSSF Day EU am Vorabend des Open Source Summit Europe (OSS EU) in Dublin. Arbeitsgruppenleiter und Community-Mitglieder werden Sitzungen, Panels und Kamingespräche über die laufende Arbeit zur Sicherung der Software-Lieferkette und die Zukunft der Open-Source-Sicherheit veranstalten. Registrierung: Die Teilnahme ist für alle Teilnehmer der OSS EU kostenfrei.
Zitat für Premium-Mitglieder
Capital One
„Heutzutage basieren einige der bahnbrechendsten digitalen Erlebnisse für Kunden auf Open-Source-Software. Als Unternehmen, das diese Technologie in großem Umfang einsetzt, ist Capital One unglaublich stolz darauf, der OpenSSF und den weltweiten Technologieführern beizutreten, während wir zusammenarbeiten, um die Lieferkette für Softwaresicherheit zu stärken. Als stark reguliertes Unternehmen verfügen wir über Erfahrung im Management von Compliance und Governance und setzen uns für Standardisierung, Automatisierung und Zusammenarbeit ein. Wir freuen uns auf die Zusammenarbeit, um Lösungen zu finden, die die OpenOSSF-Mission voranbringen und der Open-Source-Community etwas zurückgeben.“
- Chris Nims, EVP für Cloud & Productivity Engineering bei Capital One
Allgemeine Mitgliederzitate
Akamai
„Die Verbesserung der Sicherheit von Open-Source-Software – so zentral für das Internet-Ökosystem – ist eine der kritischsten Sicherheitsherausforderungen, denen wir heute gegenüberstehen. Nur wenn wir Einblick in das Netzwerk und die Software-Lieferkette gewinnen, können wir Sicherheitslücken zuverlässig beheben, wenn sie auf Codeebene auftreten. Die Technologie-Community muss die Open-Source-Communitys, auf die wir angewiesen sind, mit finanziellen und technologischen Ressourcen unterstützen, um unser kollektives Risiko zu begrenzen. Als führender Anbieter von Sicherheits- und Cloud-Diensten freuen wir uns darauf, zur Open Source Security Foundation beizutragen und diese wichtige Arbeit voranzutreiben.“
- Robert Blumofe, EVP und CTO, Akamai
Kasten von Veeam
„Wir fühlen uns geehrt, Teil der Open Source Security Foundation (OpenSSF) zu sein und uns gemeinsam mit unseren Kollegen für diese Initiative einzusetzen. Kasten by Veeam blickt auf eine Open-Source-Erfahrung zurück, und da Kubernetes-Datenschutz unser Kernangebot ist, bleibt Sicherheit eine entscheidende Grundlage für das Design und die Implementierung von Kasten K10. Da die Einführung von Kubernetes die digitale Transformation von Unternehmen weiterhin vorantreibt, wird der Sicherheit zu Recht mehr Aufmerksamkeit geschenkt, insbesondere angesichts der unaufhaltsamen Zunahme von Ransomware-Angriffen. Kasten by Veeam setzt sich dafür ein, die Sicherheit und den Datenschutz nativer Cloud-Umgebungen zu gewährleisten, um Geschäftsanwendungen besser zu schützen.“
- Gaurav Rishi, Vizepräsident für Produkte und Partnerschaften bei Kasten by Veeam
Scantist
„Einerseits profitiert die Softwareindustrie erheblich vom rasanten Wachstum von Open Source, das zum Grundbaustein der digitalen Welt geworden ist. Andererseits wird die Sicherheit von Open Source immer wichtiger und all diese Risiken vervielfachen sich durch die gegenseitige Abhängigkeit von Open Source. Als Mitglied von OpenSSF möchten wir auf der Grundlage unserer jüngsten Forschung zur Open-Source-Ökosystemanalyse einen Beitrag zu den OpenSSF-Missionen leisten, um eine quantitative Sicht zum Verständnis der Komplexität und Sicherheit von Open Source bereitzustellen. Wir wollen der aktive Teilnehmer, Evangelist und Botschafter der OSS-Governance in Südostasien werden, um die Sicherheit der Open-Source-Software-Lieferkette zu fördern.“
- Dr. Liu Yang, Professor an der Nanyang Technological University, Singapur und Mitbegründer von Scantist
SIE BASH
„Seit unserer Gründung hat SHE BASH eine Vielzahl räuberischer Branchenpraktiken erlebt, die durch den Schutzschleier der geschlossenen Quelle vor umfassender Prüfung geschützt sind. Für uns ist Open-Source-Software eine öffentliche Institution, die es jedem ermöglicht, seine Zukunft zu gestalten.
„Die Kombination aus jahrzehntelanger Apathie und den Anreizmechanismen, die eine Kultur des ‚Egal‘ aufrechterhalten, hat es unserem Unternehmen ermöglicht, sich unter den größten und schuldigsten Technologieunternehmen hervorzuheben. Wir haben „Best Practice First“ immer als eines der wichtigsten Wertversprechen angesehen, die wir als Unternehmen bieten können, wenn auch ein kleines. Open-Source-Software hat uns die gleichen Wettbewerbsbedingungen geboten, um bei wichtigen technologischen Veränderungen im öffentlichen Sektor Veränderungen herbeizuführen, und die Entwicklung dieser Veränderungen ist die Entwicklung von Best Practices, die aus der Open Source hervorgegangen sind, die heute das gesamte Softwareleben trägt. Es ist eine wahre Ehre, die Arbeit zu unterstützen, die OpenSSF zur Behebung großer struktureller Fehler leistet, die aus jahrzehntelanger Vernachlässigung entstanden sind.“
- Cameron Banowsky, Mitbegründer und CTØ, SHE BASH
Socket-Sicherheit
„Als Betreuer von Open-Source-Paketen, die über eine Milliarde Mal pro Monat installiert werden, ist das Socket-Team mit dem massiven Wachstum der Nutzung von Open-Source-Abhängigkeiten bestens vertraut. Moderne Anwendungen nutzen Tausende von Abhängigkeiten, die von Hunderten von Betreuern geschrieben wurden, und die Installation nur eines Pakets führt dazu, dass Dutzende transitive Abhängigkeiten mitkommen. Leider ist es für einen schlechten Akteur viel zu einfach, in die Software-Lieferkette einzudringen und Chaos anzurichten. Aus diesem Grund ist Socket stolz darauf, OpenSSF beizutreten und mit unserem branchenführenden Ansatz zur Analyse der Softwarezusammensetzung, der von Tausenden von Unternehmen zur Erkennung und Verhinderung von Angriffen auf die Lieferkette eingesetzt wird, unseren Teil dazu beizutragen, Open Source für alle sicher zu machen. Das Socket-Team freut sich, mit anderen OpenSSF-Mitgliedsunternehmen zusammenzuarbeiten, um das Open-Source-Ökosystem für alle zu schützen.“
- Feross Aboukhadijeh, Gründer und CEO, Socket Security
Sysdig
Sysdig ist stolz darauf, Teil von OpenSSF zu sein und gemeinsam daran zu arbeiten, Open-Source-Sicherheitsstandards voranzutreiben und die Software-Lieferkette zu sichern. Als auf Open Source basierendes Cloud-Sicherheitsunternehmen glauben wir, dass die Branche zusammenarbeiten muss, um Software für das Gemeinwohl zu stärken. Nachdem wir Falco erstellt und zum CNCF beigetragen haben, um die Laufzeit zu sichern, freuen wir uns auf die Fortsetzung der offenen Zusammenarbeit im OpenSSF. Die Zukunft der Sicherheit ist offen und was wir jetzt tun, wird Software für immer prägen.“
- Edd Wilder-James, Vizepräsident, Open Source Ecosystem bei Sysdig
Timesys
„Da die Zahl der Verstöße in der Software-Lieferkette um mehr als 650 % zunimmt, ist die Sicherung der Software-Lieferkette ein großer Schwerpunkt. Wir arbeiten seit mehr als fünf Jahren an der Entwicklung von Technologien, um Open-Source-basierte eingebettete Linux- und Android-Geräte vor Gefährdungen und Schwachstellen zu schützen, zu überwachen und zu warten. Wir freuen uns sehr, uns dieser Community-Aktion mit OpenSSF anzuschließen und wieder Teil der Linux Foundation zu sein. Durch den Austausch von Technologie und die Zusammenarbeit beim Aufbau von Ökosystemen, die die Entwicklung von Open-Source-Technologie beschleunigen, können Gerätehersteller und Verbraucher überall auf der Welt beruhigter sein und wissen, dass sie sicher sind.“
- Atul Bansal, CEO von Timesys
ZTE Corporation
„Wir freuen uns sehr, dem OpenSSF beizutreten. Als weltweit führender Hersteller von Kommunikationsgeräten setzen wir immer mehr Open-Source-Software ein. Die aktive Akzeptanz von Open-Source-Software birgt jedoch auch beispiellose Risiken für die Sicherheit der Software-Lieferkette. Die ZTE Corporation hat viele Anstrengungen unternommen, um Risiken zu kontrollieren und zu verwalten, und betrachtet sie als unsere oberste Priorität. Nach dem Beitritt zur OpenSSF arbeitet die ZTE Corporation mit einer Gruppe von Mitgliedern mit ähnlichen Visionen und Zielen zusammen, um die Entwicklung der Open-Source-Software-Lieferkette in eine sicherere Richtung voranzutreiben.“
- Xiang Shuming, Direktor für OSS Compliance und Security Governance, ZTE Corporation
Weitere Informationen
- Anzeigen die vollständige Liste der 89 OpenSSF-Mitglieder
- Ansehen das letzte OpenSSF Town Hall im August
- Unterstützen Sie Ihre Bemühungen zu einer oder mehreren der aktiven OpenSSF-Arbeitsgruppen und -Projekte
Über OpenSSF
Die Open Source Security Foundation (OpenSSF) ist eine branchenübergreifende Organisation der Linux Foundation, die die wichtigsten Open-Source-Sicherheitsinitiativen der Branche sowie die Einzelpersonen und Unternehmen, die sie unterstützen, zusammenbringt. Die OpenSSF setzt sich für die Zusammenarbeit und Zusammenarbeit sowohl im Upstream als auch mit bestehenden Communities ein, um die Open-Source-Sicherheit für alle voranzutreiben. Für weitere Informationen besuchen Sie uns bitte unter: openssf.org.
Über die Linux Foundation
Die im Jahr 2000 gegründete Linux Foundation und ihre Projekte werden von mehr als 2,950 Mitgliedern unterstützt. Die Linux Foundation ist die weltweit führende Plattform für die Zusammenarbeit im Bereich Open-Source-Software, -Hardware, -Standards und -Daten. Linux Foundation-Projekte sind für die weltweite Infrastruktur von entscheidender Bedeutung, darunter Linux, Kubernetes, Node.js, ONAP, Hyperledger, RISC-V und mehr. Die Methodik der Linux Foundation konzentriert sich auf die Nutzung von Best Practices und die Berücksichtigung der Bedürfnisse von Mitwirkenden, Benutzern und Lösungsanbietern, um nachhaltige Modelle für eine offene Zusammenarbeit zu schaffen. Für weitere Informationen besuchen Sie uns bitte unter linuxfoundation.org.
