OpenSSF annonce 13 nouveaux membres engagés à renforcer la sécurité de la chaîne d'approvisionnement des logiciels open source

SAN FRANCISCO, 17 août 2022 — Les Fondation de sécurité Open Source (OpenSSF), une organisation intersectorielle hébergée à la Fondation Linux qui rassemble les initiatives de sécurité de la chaîne d'approvisionnement logicielle les plus importantes au monde, a annoncé mercredi 13 nouveaux membres issus des principaux services financiers, de la technologie, de l'emploi, du développement de logiciels, de la cybersécurité, des télécommunications et secteurs académiques.

Le nouveau membre principal, Capital One, rejoint le conseil d'administration d'OpenSSF. Les nouveaux engagements généraux des membres proviennent d'Akamai, Indeed, Kasten by Veeam, Scantist, SHE BASH, Socket Security, Sysdig, Timesys et ZTE Corporation. Les nouveaux membres associés incluent la Fondation Eclipse, l'Université Purdue et le groupe TODO. "Nous sommes ravis d'accueillir de nouveaux membres à OpenSSF", a déclaré Brian Behlendorf, directeur général d'OpenSSF. "Alors que les vulnérabilités de sécurité des logiciels open source continuent d'attirer l'attention des gouvernements et des entreprises du monde entier, l'intérêt pour le travail d'OpenSSF a rapidement augmenté."

« Une communauté croissante d'organisations, de développeurs, de chercheurs et de professionnels de la sécurité investit le temps et les ressources nécessaires pour renforcer la sécurité open source », a déclaré Jamie Thomas, président du conseil d'administration d'OpenSSF et directeur de la sécurité d'entreprise d'IBM. "Les nouveaux membres d'OpenSSF rejoignent à un moment où la collaboration et l'innovation intersectorielles sont plus que jamais nécessaires pour répondre de manière proactive aux menaces de cybersécurité omniprésentes."

La résolution des problèmes systémiques qui ont conduit à des vulnérabilités de sécurité majeures comme l'incident Log4shell souligne l'urgence et l'importance du travail d'OpenSSF. Un récent rapport du Cyber ​​​​Safety Review Board a déclaré que Log4j est devenu une «vulnérabilité endémique» qui sera exploitée pendant des années à venir et que le Plan de mobilisation en 10 points introduit plus tôt cette année lors de l'Open Source Software Security Summit II par OpenSSF améliorera la résilience et la sécurité des logiciels open source.

OpenSSF organisera une journée complète de sessions le mardi 13 septembre à Journée OpenSSF UE à la veille de l'Open Source Summit Europe (OSS EU) à Dublin. Les chefs de groupe de travail et les membres de la communauté organiseront des sessions, des panels et des discussions au coin du feu sur les travaux en cours pour sécuriser la chaîne d'approvisionnement des logiciels et l'avenir de la sécurité open source. Inscription et la participation sont gratuites pour tous ceux qui fréquentent l'OSS EU.

Citation de membre Premier

Capital One

« Aujourd'hui, certaines des expériences numériques les plus révolutionnaires créées pour les clients sont basées sur des logiciels open source. En tant qu'entreprise qui adopte largement cette technologie, Capital One est incroyablement fière de rejoindre OpenSSF et les leaders mondiaux de la technologie alors que nous collaborons pour renforcer la chaîne d'approvisionnement de la sécurité logicielle. En tant qu'entreprise hautement réglementée, nous sommes expérimentés dans la gestion de la conformité et de la gouvernance et plaidons pour la normalisation, l'automatisation et la collaboration. Nous sommes impatients de travailler ensemble pour identifier des solutions qui font avancer la mission OpenOSSF et redonner à la communauté open source.

• Chris Nims, vice-président exécutif de l'ingénierie cloud et de la productivité chez Capital One

Citations générales des membres

Akamai

« L'amélioration de la sécurité des logiciels open source, si essentiels à l'écosystème Internet, est l'un des défis de sécurité les plus critiques auxquels nous sommes confrontés aujourd'hui. Ce n'est qu'en gagnant en visibilité sur le réseau et la chaîne d'approvisionnement logicielle que nous pourrons traiter de manière fiable les failles de sécurité lorsqu'elles se produisent au niveau du code. La communauté technologique doit soutenir les communautés open source dont nous dépendons avec des ressources financières et technologiques pour limiter notre risque collectif. En tant que fournisseur leader de services de sécurité et de cloud, nous sommes impatients de contribuer à l'Open Source Security Foundation et d'aider à faire avancer cet important travail.

• Robert Blumofe, vice-président exécutif et directeur technique, Akamai

Kasten par Veeam

« Nous sommes honorés de faire partie de l'Open Source Security Foundation (OpenSSF) et de défendre cette initiative aux côtés de nos pairs. Kasten by Veeam a un héritage open source, et avec la protection des données Kubernetes comme notre offre principale, la sécurité reste un fondement essentiel pour la conception et la mise en œuvre de Kasten K10. Alors que l'adoption de Kubernetes continue d'alimenter les parcours de transformation numérique des entreprises, une plus grande attention est à juste titre accordée à la sécurité, en particulier avec l'augmentation inexorable des attaques de ransomwares. Kasten by Veeam s'engage à assurer la sécurité et la protection des données des environnements cloud natifs pour mieux protéger les applications métiers.

• Gaurav Rishi, vice-président des produits et des partenariats chez Kasten by Veeam

Scantiste

« D'une part, l'industrie du logiciel profite considérablement de la croissance rapide de l'open source, qui est devenu la pierre angulaire du monde numérique. D'autre part, la sécurité open source devient de plus en plus critique et tous ces risques sont multipliés par la nature interdépendante de l'open source. Maintenant en tant que membre d'OpenSSF, nous aimerions contribuer aux missions OpenSSF basées sur nos récentes recherches sur l'analyse de l'écosystème open source afin de fournir une vue quantitative pour comprendre la complexité et la sécurité de l'open source. Nous voulons devenir le participant actif, l'évangéliste et l'ambassadeur de la gouvernance des logiciels libres en Asie du Sud-Est afin de promouvoir la sécurité de la chaîne d'approvisionnement des logiciels open source.

• Dr Liu Yang, professeur à l'Université technologique de Nanyang, Singapour et co-fondateur de Scantist

ELLE BAISSE

"Depuis notre création, SHE BASH a été témoin d'une variété de pratiques prédatrices de l'industrie qui sont protégées d'un examen approfondi via le voile protecteur de la source fermée. À la base, le logiciel libre est une institution publique qui permet à chacun de construire son avenir.

« La combinaison de décennies d'apathie et des mécanismes incitatifs qui entretiennent une culture du « ne s'en soucient pas » a permis à notre entreprise de se démarquer parmi les entreprises technologiques les plus importantes et les plus coupables. Nous avons toujours considéré les « meilleures pratiques d'abord » comme l'une des principales propositions de valeur que nous pouvons fournir en tant qu'entreprise, même si elle est petite. Les logiciels open source nous ont fourni des règles du jeu équitables pour faire des différences dans les changements technologiques clés au sein du secteur public, et l'évolution de ces changements est le développement de meilleures pratiques nées de l'open source qui soutient toute la vie logicielle aujourd'hui. C'est un véritable honneur de contribuer au travail qu'OpenSSF mène pour remédier à de grandes erreurs structurelles résultant de décennies de négligence.

• Cameron Banowsky, co-fondateur et CTØ, SHE BASH

Sécurité des sockets

"En tant que mainteneurs de packages open source qui sont installés plus d'un milliard de fois par mois, l'équipe Socket est intimement familière avec la croissance massive de l'utilisation des dépendances open source. Les applications modernes utilisent des milliers de dépendances écrites par des centaines de mainteneurs, et l'installation d'un seul paquet entraîne l'arrivée de dizaines de dépendances transitives. Malheureusement, il est beaucoup trop facile pour un mauvais acteur d'infiltrer la chaîne d'approvisionnement des logiciels et de faire des ravages. C'est pourquoi Socket est fier de rejoindre OpenSSF et de faire notre part pour rendre l'open source sûr pour tous grâce à notre approche de pointe en matière d'analyse de la composition logicielle, utilisée par des milliers d'entreprises pour détecter et prévenir les attaques de la chaîne d'approvisionnement. L'équipe Socket est ravie de travailler avec d'autres sociétés membres d'OpenSSF pour protéger l'écosystème open source pour tous.

• Feross Aboukhadijeh, fondateur et PDG, Socket Security

Sydig

Sysdig est fier de faire partie d'OpenSSF et de travailler ensemble pour aider à guider les normes de sécurité open source et à sécuriser la chaîne d'approvisionnement des logiciels. En tant qu'entreprise de sécurité cloud basée sur l'open source, nous pensons que l'industrie doit s'unir pour renforcer les logiciels pour le bien commun. Après avoir créé et contribué à Falco à la CNCF pour aider à sécuriser le runtime, nous sommes impatients de poursuivre la collaboration ouverte dans OpenSSF. L'avenir de la sécurité est ouvert, et ce que nous faisons maintenant façonnera les logiciels pour toujours.

• Edd Wilder-James, vice-président, écosystème open source chez Sysdig

Timesys

« Avec plus de 650 % de failles dans la chaîne d'approvisionnement des logiciels, la sécurisation de la chaîne d'approvisionnement des logiciels est une priorité. Nous travaillons depuis plus de 5 ans au développement de technologies pour aider à sécuriser, surveiller et maintenir les appareils Linux et Android embarqués open source contre les expositions et les vulnérabilités. Nous sommes ravis de nous joindre à cet effort communautaire avec OpenSSF et de faire à nouveau partie de la Fondation Linux. En partageant la technologie et en collaborant pour créer des écosystèmes qui accélèrent le développement de technologies open source, les fabricants d'appareils et les consommateurs du monde entier pourront se reposer plus facilement en sachant qu'ils sont en sécurité.

• Atul Bansal, PDG de Timesys

ZTE Corporation

« Nous sommes très heureux de rejoindre l'OpenSSF. En tant que fabricant mondial d'équipements de communication, nous utilisons de plus en plus de logiciels open source. Tout en adoptant activement les logiciels open source, ils présentent également des risques sans précédent pour la sécurité de la chaîne d'approvisionnement des logiciels. ZTE Corporation a déployé de nombreux efforts pour contrôler et gérer les risques, et les considère comme notre priorité absolue. Après avoir rejoint OpenSSF, ZTE Corporation travaille avec un groupe de membres partageant des visions et des objectifs similaires pour promouvoir le développement de la chaîne d'approvisionnement des logiciels open source vers une direction plus sûre.

• Xiang Shuming, directeur de la conformité OSS et de la gouvernance de la sécurité, ZTE Corporation

Ressources additionnelles

• Voir la liste complète des 89 membres OpenSSF
• Montres le récent hôtel de ville OpenSSF d'août
• Contribuer aux efforts à un ou plusieurs des groupes de travail et projets OpenSSF actifs

À propos d'OpenSSF

L'Open Source Security Foundation (OpenSSF) est une organisation intersectorielle hébergée par la Linux Foundation qui rassemble les initiatives de sécurité open source les plus importantes de l'industrie ainsi que les individus et les entreprises qui les soutiennent. L'OpenSSF s'engage à collaborer et à travailler à la fois en amont et avec les communautés existantes pour faire progresser la sécurité open source pour tous. Pour plus d'informations, veuillez nous rendre visite à : opensf.org.

À propos de la Fondation Linux

Fondée en 2000, la Linux Foundation et ses projets sont soutenus par plus de 2,950 XNUMX membres. La Fondation Linux est le principal foyer mondial de collaboration sur les logiciels, le matériel, les normes et les données open source. Les projets de la Linux Foundation sont essentiels à l'infrastructure mondiale, notamment Linux, Kubernetes, Node.js, ONAP, Hyperledger, RISC-V, etc. La méthodologie de la Linux Foundation se concentre sur l'exploitation des meilleures pratiques et la réponse aux besoins des contributeurs, des utilisateurs et des fournisseurs de solutions pour créer des modèles durables de collaboration ouverte. Pour plus d'informations, rendez-vous sur fondation linux.org.