Το OpenSSF ανακοινώνει 13 νέα μέλη που δεσμεύονται να ενισχύσουν την ασφάλεια της αλυσίδας εφοδιασμού λογισμικού ανοιχτού κώδικα

ΣΑΝ ΦΡΑΝΤΣΙΣΚΟ, 17 Αυγούστου 2022 — Η Open Source Security Foundation (OpenSSF), ένας διακλαδικός οργανισμός που φιλοξενείται στο Ίδρυμα Linux που συγκεντρώνει τις πιο σημαντικές πρωτοβουλίες στον κόσμο για την ασφάλεια της εφοδιαστικής αλυσίδας λογισμικού, ανακοίνωσε την Τετάρτη 13 νέα μέλη από κορυφαίες χρηματοοικονομικές υπηρεσίες, τεχνολογία, απασχόληση, ανάπτυξη λογισμικού, κυβερνοασφάλεια, τηλεπικοινωνίες και ακαδημαϊκούς τομείς.

Το νέο κορυφαίο μέλος, το Capital One, εντάσσεται στο διοικητικό συμβούλιο του OpenSSF. Νέες γενικές δεσμεύσεις μελών προέρχονται από τις Akamai, Indeed, Kasten by Veeam, Scantist, SHE BASH, Socket Security, Sysdig, Timesys και ZTE Corporation. Τα νέα συνεργαζόμενα μέλη περιλαμβάνουν το Eclipse Foundation, το Πανεπιστήμιο Purdue και το TODO Group. «Είμαστε ενθουσιασμένοι που καλωσορίζουμε νέα μέλη στο OpenSSF», λέει ο Brian Behlendorf, Γενικός Διευθυντής του OpenSSF. «Καθώς οι ευπάθειες ασφαλείας λογισμικού ανοιχτού κώδικα εξακολουθούν να τραβούν την προσοχή από τις κυβερνήσεις και τις επιχειρήσεις σε όλο τον κόσμο, το ενδιαφέρον για το έργο του OpenSSF αυξάνεται ραγδαία».

«Μια αυξανόμενη κοινότητα οργανισμών, προγραμματιστών, ερευνητών και επαγγελματιών ασφάλειας επενδύουν τον χρόνο και τους πόρους που απαιτούνται για την ενίσχυση της ασφάλειας ανοιχτού κώδικα», δήλωσε ο Jamie Thomas, Πρόεδρος του Διοικητικού Συμβουλίου του OpenSSF και Executive της IBM Enterprise Security. «Τα νέα μέλη του OpenSSF εντάσσονται σε μια εποχή που η διβιομηχανική συνεργασία και η καινοτομία χρειάζονται περισσότερο από ποτέ για να ανταποκριθούν προληπτικά σε διάχυτες απειλές για την ασφάλεια στον κυβερνοχώρο».

Η επίλυση των συστημικών ζητημάτων που οδήγησαν σε σημαντικές ευπάθειες ασφαλείας, όπως το περιστατικό Log4shell, τονίζει τον επείγοντα χαρακτήρα και τη σημασία του έργου του OpenSSF. Μια πρόσφατη έκθεση της Επιτροπής Αναθεώρησης για την Ασφάλεια στον Κυβερνοχώρο δήλωσε ότι το Log4j έχει γίνει μια «ενδημική ευπάθεια» που θα χρησιμοποιείται για τα επόμενα χρόνια και ότι η Σχέδιο κινητοποίησης 10 σημείων που παρουσιάστηκε νωρίτερα φέτος στο Open Source Software Security Summit II από το OpenSSF θα βελτιώσει την ανθεκτικότητα και την ασφάλεια του λογισμικού ανοιχτού κώδικα.

Το OpenSSF θα φιλοξενήσει μια ολόκληρη μέρα συνεδριών την Τρίτη, 13 Σεπτεμβρίου, στις Ημέρα OpenSSF ΕΕ την παραμονή του Open Source Summit Europe (OSS EU) στο Δουβλίνο. Οι ηγέτες των ομάδων εργασίας και τα μέλη της κοινότητας θα φιλοξενήσουν συνεδρίες, πάνελ και συνομιλίες δίπλα στο πυροβολισμό σχετικά με τη συνεχιζόμενη εργασία για τη διασφάλιση της αλυσίδας εφοδιασμού λογισμικού και το μέλλον της ασφάλειας ανοιχτού κώδικα. Εγγραφή και η προσέλευση είναι δωρεάν για όλους όσους παρακολουθούν την OSS EU.

Προσφορά μέλους Premier

Capital One

«Σήμερα μερικές από τις πιο πρωτοποριακές ψηφιακές εμπειρίες που δημιουργούνται για πελάτες βασίζονται σε λογισμικό ανοιχτού κώδικα. Ως εταιρεία που υιοθετεί ευρέως αυτήν την τεχνολογία, η Capital One είναι απίστευτα περήφανη που συμμετέχει στο OpenSSF και στους παγκόσμιους ηγέτες τεχνολογίας καθώς συνεργαζόμαστε για την ενίσχυση της αλυσίδας εφοδιασμού ασφάλειας λογισμικού. Ως εταιρεία με υψηλή ρύθμιση, είμαστε έμπειροι στη διαχείριση της συμμόρφωσης και της διακυβέρνησης και υποστηρίζουμε την τυποποίηση, την αυτοματοποίηση και τη συνεργασία. Ανυπομονούμε να συνεργαστούμε για να εντοπίσουμε λύσεις που προάγουν την αποστολή του OpenOSSF και δίνουν πίσω στην κοινότητα ανοιχτού κώδικα.»

• Chris Nims, EVP of Cloud & Productivity Engineering στην Capital One

Γενικές προσφορές μελών

Akamai

«Η βελτίωση της ασφάλειας του λογισμικού ανοιχτού κώδικα - τόσο κεντρικής σημασίας για το οικοσύστημα του Διαδικτύου - είναι μια από τις πιο κρίσιμες προκλήσεις ασφαλείας που αντιμετωπίζουμε σήμερα. Μόνο με την απόκτηση προβολής στο δίκτυο και την αλυσίδα εφοδιασμού λογισμικού μπορούμε να αντιμετωπίσουμε αξιόπιστα τα ελαττώματα ασφαλείας όταν εμφανίζονται σε επίπεδο κώδικα. Η τεχνολογική κοινότητα πρέπει να υποστηρίξει τις κοινότητες ανοιχτού κώδικα στις οποίες βασιζόμαστε με οικονομικούς και τεχνολογικούς πόρους για τον περιορισμό του συλλογικού μας κινδύνου. Ως κορυφαίος πάροχος υπηρεσιών ασφάλειας και cloud, ανυπομονούμε να συνεισφέρουμε στο Open Source Security Foundation και να βοηθήσουμε στην προώθηση αυτού του σημαντικού έργου».

• Robert Blumofe, EVP και CTO, Akamai

Kasten της Veeam

«Είναι τιμή μας που είμαστε μέρος του Open Source Security Foundation (OpenSSF) και υποστηρίζουμε αυτήν την πρωτοβουλία μαζί με τους συνομηλίκους μας. Το Kasten by Veeam έχει μια κληρονομιά ανοιχτού κώδικα και με την προστασία δεδομένων Kubernetes ως την κύρια προσφορά μας, η ασφάλεια παραμένει ένα κρίσιμο υπόβαθρο για το σχεδιασμό και την υλοποίηση του Kasten K10. Καθώς η υιοθέτηση του Kubernetes συνεχίζει να τροφοδοτεί τα ταξίδια Ψηφιακού Μετασχηματισμού για τις επιχειρήσεις, δικαίως δίδεται περισσότερη προσοχή στην ασφάλεια, ειδικά με την αδυσώπητη αύξηση των επιθέσεων ransomware. Η Kasten by Veeam δεσμεύεται να διασφαλίζει την ασφάλεια και την προστασία δεδομένων των εγγενών περιβαλλόντων cloud για την καλύτερη προστασία των επιχειρηματικών εφαρμογών.»

• Gaurav Rishi, Αντιπρόεδρος Προϊόντων και Συνεργασιών στο Kasten by Veeam

Scantist

«Από τη μία πλευρά, η βιομηχανία λογισμικού επωφελείται ουσιαστικά από την ταχεία ανάπτυξη του ανοιχτού κώδικα, που έχει γίνει τα βασικά δομικά στοιχεία του ψηφιακού κόσμου. Από την άλλη πλευρά, η ασφάλεια ανοιχτού κώδικα γίνεται πιο κρίσιμη και όλοι αυτοί οι κίνδυνοι πολλαπλασιάζονται με την αλληλοεξαρτώμενη φύση του ανοιχτού κώδικα. Τώρα ως μέλος του OpenSSF, θα θέλαμε να συνεισφέρουμε στις αποστολές OpenSSF που βασίζονται στην πρόσφατη έρευνά μας για την ανάλυση οικοσυστήματος ανοιχτού κώδικα για να παρέχουμε μια ποσοτική άποψη για την κατανόηση της πολυπλοκότητας και της ασφάλειας του ανοιχτού κώδικα. Θέλουμε να γίνουμε ο ενεργός συμμετέχων, ευαγγελιστής και πρεσβευτής για τη διακυβέρνηση του OSS στη νοτιοανατολική Ασία για την προώθηση της ασφάλειας της εφοδιαστικής αλυσίδας λογισμικού ανοιχτού κώδικα».

• Δρ. Liu Yang, Καθηγητής στο Τεχνολογικό Πανεπιστήμιο Nanyang, Σιγκαπούρη και συνιδρυτής της Scantist

ΑΥΤΗ ΜΠΑΣ

«Από την ίδρυσή μας, η SHE BASH έχει γίνει μάρτυρας μιας ποικιλίας επιθετικών πρακτικών της βιομηχανίας που προστατεύονται από εκτεταμένο έλεγχο μέσω του προστατευτικού πέπλου κλειστής πηγής. Στον πυρήνα μας, το λογισμικό ανοιχτού κώδικα είναι ένας δημόσιος θεσμός που δίνει τη δυνατότητα σε όλους να χτίσουν το μέλλον τους.

«Ο συνδυασμός δεκαετιών απάθειας και μηχανισμών κινήτρων που συντηρούν την κουλτούρα του «μην νοιάζεσαι» επέτρεψε στην εταιρεία μας να ξεχωρίσει ανάμεσα στις μεγαλύτερες και πιο υπαίτιες εταιρείες της τεχνολογίας. Πάντα θεωρούσαμε τη «πρώτα η καλύτερη πρακτική» ως μία από τις κύριες προτάσεις αξίας που μπορούμε να παρέχουμε ως εταιρεία, αν και μικρή. Το Λογισμικό Ανοιχτού Κώδικα μας παρείχε τους ίσους όρους ανταγωνισμού για να κάνουμε διαφορές σε βασικές τεχνολογικές αλλαγές στον δημόσιο τομέα και η εξέλιξη αυτών των αλλαγών είναι η ανάπτυξη βέλτιστων πρακτικών που γεννήθηκαν από τον ανοιχτό κώδικα που συντηρεί όλη τη ζωή του λογισμικού σήμερα. Είναι αληθινή τιμή να βοηθάς στο έργο που το OpenSSF οδηγεί στη διόρθωση μεγάλων δομικών λαθών που προέκυψαν από παραμέληση δεκαετιών».

• Cameron Banowsky, συνιδρυτής και CTØ, SHE BASH

Socket Security

«Ως συντηρητές πακέτων ανοιχτού κώδικα που εγκαθίστανται πάνω από 1 δισεκατομμύριο φορές το μήνα, η ομάδα του Socket είναι καλά εξοικειωμένη με τη μαζική ανάπτυξη της χρήσης εξάρτησης ανοιχτού κώδικα. Οι σύγχρονες εφαρμογές χρησιμοποιούν χιλιάδες εξαρτήσεις που έχουν γραφτεί από εκατοντάδες συντηρητές και η εγκατάσταση έστω και ενός πακέτου οδηγεί σε δεκάδες μεταβατικές εξαρτήσεις που έρχονται στη διαδρομή. Δυστυχώς, είναι πολύ εύκολο για έναν κακό ηθοποιό να διεισδύσει στην αλυσίδα εφοδιασμού λογισμικού και να προκαλέσει τον όλεθρο. Αυτός είναι ο λόγος για τον οποίο η Socket είναι περήφανη που συμμετέχει στο OpenSSF και κάνουμε το μέρος μας για να κάνουμε τον ανοιχτό κώδικα ασφαλή για όλους με την κορυφαία στον κλάδο προσέγγισή μας στην ανάλυση σύνθεσης λογισμικού, η οποία χρησιμοποιείται από χιλιάδες εταιρείες για τον εντοπισμό και την πρόληψη επιθέσεων στην αλυσίδα εφοδιασμού. Η ομάδα του Socket είναι ενθουσιασμένος που συνεργάζεται με άλλες εταιρείες μέλη του OpenSSF για να προστατεύσει το οικοσύστημα ανοιχτού κώδικα για όλους."

• Feross Aboukhadijeh, Ιδρυτής και Διευθύνων Σύμβουλος, Socket Security

Sysdig

Η Sysdig είναι περήφανη που είναι μέρος του OpenSSF και συνεργάζεται για να βοηθήσει στην καθοδήγηση των προτύπων ασφαλείας ανοιχτού κώδικα και στην ασφάλεια της αλυσίδας εφοδιασμού λογισμικού. Ως εταιρεία ασφάλειας cloud που βασίζεται σε ανοιχτό κώδικα, πιστεύουμε ότι η βιομηχανία πρέπει να ενωθεί για να ενισχύσει το λογισμικό για το κοινό καλό. Έχοντας δημιουργήσει και συνεισφέρει το Falco στο CNCF για να βοηθήσει στη διασφάλιση του χρόνου εκτέλεσης, ανυπομονούμε να συνεχίσουμε την ανοιχτή συνεργασία στο OpenSSF. Το μέλλον της ασφάλειας είναι ανοιχτό και αυτό που κάνουμε τώρα θα διαμορφώσει το λογισμικό για πάντα».

• Edd Wilder-James, Αντιπρόεδρος, Open Source Ecosystem στο Sysdig

Timesys

«Με παραβιάσεις της αλυσίδας εφοδιασμού λογισμικού που ξεπερνούν το 650%, η διασφάλιση της εφοδιαστικής αλυσίδας λογισμικού αποτελεί μεγάλη εστίαση. Εργαζόμαστε για περισσότερα από 5 χρόνια αναπτύσσοντας τεχνολογία για να βοηθήσουμε στην ασφάλεια, την παρακολούθηση και τη διατήρηση ενσωματωμένων συσκευών Linux και Android που βασίζονται σε ανοιχτό κώδικα από εκθέσεις και τρωτά σημεία. Είμαστε τόσο ενθουσιασμένοι που συμμετέχουμε σε αυτήν την κοινοτική προσπάθεια με το OpenSSF και που θα είμαστε ξανά μέρος του Linux Foundation. Μοιράζοντας την τεχνολογία και συνεργαζόμενοι για τη δημιουργία οικοσυστημάτων που επιταχύνουν την ανάπτυξη τεχνολογίας ανοιχτού κώδικα, οι κατασκευαστές συσκευών και οι καταναλωτές παντού θα μπορούν να ξεκουράζονται ευκολότερα γνωρίζοντας ότι είναι ασφαλείς».

• Atul Bansal, Διευθύνων Σύμβουλος της Timesys

ZTE Corporation

«Είμαστε πολύ χαρούμενοι που συμμετέχουμε στο OpenSSF. Ως κορυφαίος κατασκευαστής εξοπλισμού επικοινωνίας παγκοσμίως, χρησιμοποιείται όλο και περισσότερο λογισμικό ανοιχτού κώδικα από εμάς. Ενώ υιοθετεί ενεργά το λογισμικό ανοιχτού κώδικα, ενέχει επίσης πρωτοφανείς κινδύνους για την ασφάλεια της εφοδιαστικής αλυσίδας λογισμικού. Η ZTE Corporation έχει καταβάλει πολλές προσπάθειες για τον έλεγχο και τη διαχείριση των κινδύνων και τους θεωρεί ως κορυφαία προτεραιότητά μας. Μετά την ένταξή της στο OpenSSF, η ZTE Corporation συνεργάζεται με μια ομάδα μελών με παρόμοια οράματα και στόχους για να προωθήσει την ανάπτυξη της εφοδιαστικής αλυσίδας λογισμικού ανοιχτού κώδικα προς μια πιο ασφαλή κατεύθυνση».

• Xiang Shuming, Διευθυντής Συμμόρφωσης και Διακυβέρνησης Ασφαλείας OSS, ZTE Corporation

Επιπρόσθετοι πόροι

• Δες την πλήρη λίστα με τα 89 μέλη του OpenSSF
• Δες το πρόσφατο δημαρχείο του Αυγούστου OpenSSF
• Συμβολή προσπαθειών σε μία ή περισσότερες από τις ενεργές ομάδες εργασίας και έργα OpenSSF

Σχετικά με το OpenSSF

Το Open Source Security Foundation (OpenSSF) είναι ένας διακλαδικός οργανισμός που φιλοξενείται από το Linux Foundation και συγκεντρώνει τις σημαντικότερες πρωτοβουλίες ανοιχτού κώδικα ασφαλείας του κλάδου και τα άτομα και τις εταιρείες που τις υποστηρίζουν. Το OpenSSF έχει δεσμευτεί να συνεργάζεται και να εργάζεται τόσο ανάντη όσο και με υπάρχουσες κοινότητες για την προώθηση της ασφάλειας ανοιχτού κώδικα για όλους. Για περισσότερες πληροφορίες, επισκεφθείτε μας στη διεύθυνση: openssf.org.

Σχετικά με το Linux Foundation

Το Linux Foundation και τα έργα του, που ιδρύθηκε το 2000, υποστηρίζονται από περισσότερα από 2,950 μέλη. Το Linux Foundation είναι το κορυφαίο σπίτι στον κόσμο για συνεργασία σε λογισμικό ανοιχτού κώδικα, υλικό, πρότυπα και δεδομένα. Τα έργα του Linux Foundation είναι ζωτικής σημασίας για την παγκόσμια υποδομή, συμπεριλαμβανομένων των Linux, Kubernetes, Node.js, ONAP, Hyperledger, RISC-V και άλλων. Η μεθοδολογία του Ιδρύματος Linux εστιάζει στην αξιοποίηση βέλτιστων πρακτικών και στην αντιμετώπιση των αναγκών των συντελεστών, των χρηστών και των παρόχων λύσεων για τη δημιουργία βιώσιμων μοντέλων για ανοιχτή συνεργασία. Για περισσότερες πληροφορίες, επισκεφθείτε μας στο linuxfoundation.org.