OpenSSF anuncia 13 nuevos miembros comprometidos con el fortalecimiento de la seguridad de la cadena de suministro de software de código abierto

SAN FRANCISCO, 17 de agosto de 2022 — El Fundación de seguridad de código abierto (OpenSSF), una organización intersectorial alojada en Linux Foundation que reúne las iniciativas de seguridad de la cadena de suministro de software más importantes del mundo, anunció el miércoles 13 nuevos miembros de los principales servicios financieros, tecnología, empleo, desarrollo de software, ciberseguridad, telecomunicaciones y sectores académicos.

El nuevo miembro principal, Capital One, se une a la Junta de Gobierno de OpenSSF. Los nuevos compromisos de miembros generales provienen de Akamai, Indeed, Kasten by Veeam, Scantist, SHE BASH, Socket Security, Sysdig, Timesys y ZTE Corporation. Los nuevos miembros asociados incluyen Eclipse Foundation, Purdue University y TODO Group. “Estamos emocionados de dar la bienvenida a los nuevos miembros a OpenSSF”, dice Brian Behlendorf, Gerente General de OpenSSF. “A medida que las vulnerabilidades de seguridad del software de código abierto continúan atrayendo la atención de los gobiernos y las empresas de todo el mundo, el interés en el trabajo de OpenSSF ha aumentado rápidamente”.

“Una creciente comunidad de organizaciones, desarrolladores, investigadores y profesionales de la seguridad están invirtiendo el tiempo y los recursos necesarios para fortalecer la seguridad de código abierto”, dijo Jamie Thomas, presidente de la junta de OpenSSF y ejecutivo de seguridad empresarial de IBM. “Los nuevos miembros de OpenSSF se unen en un momento en que la colaboración y la innovación entre industrias son más necesarias que nunca para responder de manera proactiva a las amenazas generalizadas de ciberseguridad”.

Resolver los problemas sistémicos que generaron importantes vulnerabilidades de seguridad, como el incidente de Log4shell, enfatiza la urgencia y la importancia del trabajo de OpenSSF. Un informe reciente de la Junta de Revisión de Seguridad Cibernética declaró que Log4j se ha convertido en una "vulnerabilidad endémica" que será explotada en los próximos años y que el plan de movilización de 10 puntos presentado a principios de este año en Open Source Software Security Summit II por OpenSSF mejorará la resiliencia y la seguridad del software de código abierto.

OpenSSF organizará un día completo de sesiones el martes 13 de septiembre a las OpenSSF Day UE en vísperas de Open Source Summit Europe (OSS EU) en Dublín. Los líderes de los grupos de trabajo y los miembros de la comunidad organizarán sesiones, paneles y charlas informales sobre el trabajo en curso para proteger la cadena de suministro de software y el futuro de la seguridad de código abierto. Registro y la asistencia son gratuitas para todos los asistentes a la OSS EU.

Cotización de miembro Premier

capital One

“Hoy en día, algunas de las experiencias digitales más innovadoras creadas para los clientes se basan en software de código abierto. Como empresa que adopta ampliamente esta tecnología, Capital One se enorgullece enormemente de unirse a OpenSSF ya los líderes mundiales en tecnología a medida que colaboramos para fortalecer la cadena de suministro de seguridad del software. Como empresa altamente regulada, tenemos experiencia en la gestión del cumplimiento y la gobernanza y abogamos por la estandarización, la automatización y la colaboración. Esperamos trabajar juntos para identificar soluciones que promuevan la misión de OpenOSSF y retribuyan a la comunidad de código abierto”.

• Chris Nims, vicepresidente ejecutivo de ingeniería de nube y productividad en Capital One

Cotizaciones generales de miembros

Akamai

“Mejorar la seguridad del software de código abierto, tan central para el ecosistema de Internet, es uno de los desafíos de seguridad más críticos que enfrentamos hoy. Solo al obtener visibilidad de la red y la cadena de suministro de software podemos abordar de manera confiable las fallas de seguridad cuando ocurren a nivel de código. La comunidad tecnológica debe apoyar a las comunidades de código abierto de las que dependemos con recursos financieros y tecnológicos para limitar nuestro riesgo colectivo.. Como proveedor líder de seguridad y servicios en la nube, esperamos contribuir a la Open Source Security Foundation y ayudar a avanzar en este importante trabajo”.

• Robert Blumofe, vicepresidente ejecutivo y director de tecnología de Akamai

Kasten de Veeam

“Nos sentimos honrados de ser parte de Open Source Security Foundation (OpenSSF) y defender esta iniciativa junto con nuestros pares. Kasten by Veeam tiene una herencia de código abierto y, con la protección de datos de Kubernetes como nuestra oferta principal, la seguridad sigue siendo un pilar fundamental para el diseño y la implementación de Kasten K10. A medida que la adopción de Kubernetes continúa impulsando los viajes de transformación digital para las empresas, se está prestando más atención a la seguridad, especialmente con el aumento inexorable de los ataques de ransomware. Kasten by Veeam se compromete a garantizar la seguridad y la protección de datos de los entornos nativos de la nube para proteger mejor las aplicaciones comerciales”.

• Gaurav Rishi, vicepresidente de productos y asociaciones de Kasten by Veeam

escantista

“Por un lado, la industria del software se está beneficiando sustancialmente del rápido crecimiento del código abierto, que se ha convertido en los componentes básicos del mundo digital. Por otro lado, la seguridad del código abierto se está volviendo más crítica y todos estos riesgos se multiplican por la naturaleza interdependiente del código abierto. Ahora, como miembro de OpenSSF, nos gustaría contribuir a las misiones de OpenSSF en función de nuestra investigación reciente sobre el análisis del ecosistema de código abierto para proporcionar una visión cuantitativa para comprender la complejidad y la seguridad del código abierto. Queremos convertirnos en participantes activos, evangelistas y embajadores de la gobernanza de OSS en el sudeste asiático para promover la seguridad de la cadena de suministro de software de código abierto”.

• Dr. Liu Yang，Profesor de la Universidad Tecnológica de Nanyang, Singapur y cofundador de Scantist

ELLA BASH

“Desde nuestro inicio, SHE BASH ha sido testigo de una variedad de prácticas depredadoras de la industria que se protegen del escrutinio exhaustivo a través del velo protector del código cerrado. En esencia, el software de código abierto es una institución pública que permite a todos construir su futuro.

“La combinación de décadas de apatía y los mecanismos de incentivos que sustentan una cultura de 'no me importa' ha permitido que nuestra empresa se destaque entre las empresas tecnológicas más grandes y culpables. Siempre hemos considerado 'las mejores prácticas primero' como una de las principales propuestas de valor que podemos ofrecer como empresa, aunque sea pequeña. El software de código abierto nos proporcionó igualdad de condiciones para marcar la diferencia en los cambios tecnológicos clave dentro del sector público, y la evolución de estos cambios es el desarrollo de las mejores prácticas nacidas del código abierto que sustenta toda la vida del software en la actualidad. Es un verdadero honor ser de ayuda en el trabajo que OpenSSF está llevando a cabo para remediar grandes errores estructurales que surgieron de décadas de negligencia”.

• Cameron Banowsky, cofundador y CTØ, SHE BASH

Seguridad del zócalo

“Como mantenedores de paquetes de código abierto que se instalan más de mil millones de veces al mes, el equipo de Socket está íntimamente familiarizado con el crecimiento masivo en el uso de dependencias de código abierto. Las aplicaciones modernas usan miles de dependencias escritas por cientos de mantenedores, y la instalación de un solo paquete lleva a que surjan docenas de dependencias transitivas. Desafortunadamente, es demasiado fácil para un mal actor infiltrarse en la cadena de suministro de software y causar estragos. Es por eso que Socket se enorgullece de unirse a OpenSSF y hacer nuestra parte para hacer que el código abierto sea seguro para todos con nuestro enfoque líder en la industria para el análisis de composición de software que utilizan miles de empresas para detectar y prevenir ataques a la cadena de suministro. El equipo de Socket está emocionado de trabajar con otras empresas miembros de OpenSSF para salvaguardar el ecosistema de código abierto para todos”.

• Feross Aboukhadijeh, Fundador y Director Ejecutivo, Socket Security

sysdig

Sysdig se enorgullece de ser parte de OpenSSF y trabajar juntos para ayudar a guiar los estándares de seguridad de código abierto y asegurar la cadena de suministro de software. Como empresa de seguridad en la nube basada en código abierto, creemos que la industria debe unirse para fortalecer el software por el bien común. Habiendo creado y contribuido Falco al CNCF para ayudar a asegurar el tiempo de ejecución, esperamos continuar con la colaboración abierta en OpenSSF. El futuro de la seguridad está abierto y lo que hagamos ahora dará forma al software para siempre”.

• Edd Wilder-James, vicepresidente, ecosistema de código abierto en Sysdig

Tiemposys

“Con las brechas en la cadena de suministro de software en más del 650%, asegurar la cadena de suministro de software es un gran enfoque. Llevamos más de 5 años trabajando en el desarrollo de tecnología para ayudar a proteger, monitorear y mantener dispositivos Linux y Android integrados basados ​​en código abierto contra exposiciones y vulnerabilidades. Estamos muy emocionados de unirnos a este esfuerzo comunitario con OpenSSF y ser parte de la Fundación Linux nuevamente. Al compartir tecnología y colaborar para construir ecosistemas que aceleren el desarrollo de tecnología de código abierto, los fabricantes de dispositivos y los consumidores de todo el mundo podrán descansar más tranquilos sabiendo que están seguros”.

• Atul Bansal, director general de Timesys

ZTE Corporation

“Estamos muy contentos de unirnos a OpenSSF. Como fabricante de equipos de comunicación líder en el mundo, utilizamos cada vez más software de código abierto. Si bien adopta activamente el software de código abierto, también presenta riesgos sin precedentes para la seguridad de la cadena de suministro de software. ZTE Corporation ha realizado muchos esfuerzos para controlar y gestionar los riesgos, y los considera nuestra principal prioridad. Después de unirse a OpenSSF, ZTE Corporation trabaja con un grupo de miembros con visiones y objetivos similares para promover el desarrollo de la cadena de suministro de software de código abierto hacia una dirección más segura”.

• Xiang Shuming, Director de Cumplimiento de OSS y Gobernanza de Seguridad, ZTE Corporation

Recursos adicionales

• Ver la lista completa de los 89 miembros de OpenSSF
• Ver ahora el reciente ayuntamiento de OpenSSF de agosto
• Aportar esfuerzos a uno o más de los grupos de trabajo y proyectos activos de OpenSSF

Acerca de OpenSSF

Open Source Security Foundation (OpenSSF) es una organización intersectorial organizada por Linux Foundation que reúne las iniciativas de seguridad de código abierto más importantes de la industria y las personas y empresas que las respaldan. OpenSSF está comprometida con la colaboración y el trabajo tanto en sentido ascendente como con las comunidades existentes para promover la seguridad de código abierto para todos. Para más información, por favor visítenos en: abressf.org.

Acerca de la Fundación Linux

Fundada en 2000, la Fundación Linux y sus proyectos cuentan con el apoyo de más de 2,950 miembros. La Fundación Linux es el hogar líder en el mundo para la colaboración en software, hardware, estándares y datos de código abierto. Los proyectos de Linux Foundation son fundamentales para la infraestructura mundial, incluidos Linux, Kubernetes, Node.js, ONAP, Hyperledger, RISC-V y más. La metodología de la Fundación Linux se enfoca en aprovechar las mejores prácticas y abordar las necesidades de los contribuyentes, usuarios y proveedores de soluciones para crear modelos sostenibles para la colaboración abierta. Para obtener más información, por favor visítenos en linuxfoundation.org.