SAN FRANCISCO, 17. augusztus 2022. – A Nyílt Forráskódú Biztonsági Alapítvány (OpenSSF), a világ legfontosabb szoftver-ellátási láncának biztonsági kezdeményezéseit tömörítő Linux Alapítványban működő ágazatközi szervezet szerdán bejelentette 13 új tagját a vezető pénzügyi szolgáltatások, technológia, foglalkoztatás, szoftverfejlesztés, kiberbiztonság, telekommunikáció, és akadémiai szektorok.
Új vezető tag, a Capital One, csatlakozik az OpenSSF igazgatótanácsához. Az Akamai, az Indeed, a Kasten by Veeam, a Scantist, a SHE BASH, a Socket Security, a Sysdig, a Timesys és a ZTE Corporation új általános tagsági kötelezettségvállalásai érkeztek. Az új társult tagok közé tartozik az Eclipse Foundation, a Purdue University és a TODO Group. „Izgatottan várjuk, hogy új tagokat üdvözölhessünk az OpenSSF-ben” – mondja Brian Behlendorf, az OpenSSF vezérigazgatója. „Mivel a nyílt forráskódú szoftverek biztonsági rései továbbra is felhívják a kormányok és a vállalkozások figyelmét világszerte, az OpenSSF munkája iránti érdeklődés gyorsan nő.”
„A szervezetek, fejlesztők, kutatók és biztonsági szakemberek növekvő közössége fekteti be a szükséges időt és erőforrásokat a nyílt forráskódú biztonság megerősítésére” – mondta Jamie Thomas, az OpenSSF igazgatótanácsának elnöke és az IBM Enterprise Security Executive vezetője. „Az OpenSSF új tagjai olyan időszakban csatlakoznak, amikor az iparágak közötti együttműködésre és innovációra minden eddiginél nagyobb szükség van a kiterjedt kiberbiztonsági fenyegetésekre való proaktív válaszadáshoz.”
A jelentős biztonsági résekhez, például a Log4shell-incidenshez vezető rendszerszintű problémák megoldása hangsúlyozza az OpenSSF munkájának sürgősségét és fontosságát. A Cyber Safety Review Board nemrégiben készült jelentése kijelentette, hogy a Log4j „endémikus sebezhetővé” vált, amelyet még évekig kihasználnak, és 10 pontos mozgósítási terv Az OpenSSF által az év elején az Open Source Software Security Summit II rendezvényen bevezetett javítani fogja a nyílt forráskódú szoftverek rugalmasságát és biztonságát.
Az OpenSSF egy egész napos foglalkozásoknak ad otthont szeptember 13-án, kedden, órakor OpenSSF Day EU a dublini Open Source Summit Europe (OSS EU) előestéjén. A munkacsoportok vezetői és a közösség tagjai üléseket, paneleket és kandalló melletti csevegéseket szerveznek a szoftverellátási lánc biztonsága és a nyílt forráskódú biztonság jövője érdekében folyó munkáról. Bejegyzés és a részvétel ingyenes az OSS EU-n résztvevők számára.
Premier tag árajánlat
Capital One
„Ma az ügyfelek számára készített legáttörőbb digitális élmények egy része nyílt forráskódú szoftvereken alapul. Ezt a technológiát széles körben alkalmazó vállalatként a Capital One hihetetlenül büszke arra, hogy csatlakozhat az OpenSSF-hez és a világ technológiai vezetőihez, miközben együttműködünk a szoftverbiztonsági ellátási lánc megerősítésén. Erősen szabályozott vállalatként tapasztaltunk a megfelelés és az irányítás irányításában, és támogatjuk a szabványosítást, az automatizálást és az együttműködést. Várjuk a közös munkát, hogy megtaláljuk azokat a megoldásokat, amelyek elősegítik az OpenOSSF küldetését, és visszaadják a nyílt forráskódú közösséget.”
- Chris Nims, a Capital One felhő- és termelékenységmérnöki alelnöke
Általános tagi idézetek
Akamai
„A nyílt forráskódú szoftverek biztonságának javítása – az internetes ökoszisztéma központi eleme – napjaink egyik legkritikusabb biztonsági kihívása. Csak a hálózat és a szoftverellátási lánc láthatóságának növelésével tudjuk megbízhatóan kezelni a kódszintű biztonsági hibákat. A technológiai közösségnek pénzügyi és technológiai erőforrásokkal kell támogatnia azokat a nyílt forráskódú közösségeket, amelyektől függünk, hogy korlátozzák kollektív kockázatainkat.. Vezető biztonsági és felhőszolgáltatás-szolgáltatóként alig várjuk, hogy hozzájárulhassunk az Open Source Security Foundation-hez, és elősegíthessük ezt a fontos munkát.”
- Robert Blumofe, EVP és műszaki igazgató, Akamai
Kasten – Veeam
„Megtiszteltetés számunkra, hogy az Open Source Security Foundation (OpenSSF) tagjai lehetünk, és társainkkal együtt támogathatjuk ezt a kezdeményezést. A Kasten by Veeam nyílt forráskódú örökséggel rendelkezik, és mivel a Kubernetes adatvédelme az alapkínálatunk, a biztonság továbbra is kritikus alapja a Kasten K10 tervezésének és megvalósításának. Mivel a Kubernetes bevezetése továbbra is elősegíti a digitális átalakulás útját a vállalatok számára, jogosan fordítanak nagyobb figyelmet a biztonságra, különösen a ransomware támadások feltartóztathatatlan növekedése miatt. A Kasten by Veeam elkötelezett amellett, hogy biztosítsa a felhőalapú natív környezetek biztonságát és adatvédelmét az üzleti alkalmazások jobb védelme érdekében.”
- Gaurav Rishi, a Kasten by Veeam termékekért és partnerségekért felelős alelnöke
Scantist
„Egyrészt a szoftveripar jelentős mértékben profitál a nyílt forráskód gyors növekedéséből, amely a digitális világ alapvető építőköveivé vált. Másrészt a nyílt forráskódú biztonság egyre kritikusabbá válik, és mindezeket a kockázatokat megsokszorozza a nyílt forráskód kölcsönösen függő természete. Most, az OpenSSF tagjaként, a nyílt forráskódú ökoszisztéma-elemzéssel kapcsolatos közelmúltbeli kutatásaink alapján szeretnénk hozzájárulni az OpenSSF küldetésekhez, hogy kvantitatív képet adjunk a nyílt forráskód összetettségének és biztonságának megértéséhez. Az OSS kormányzás aktív résztvevője, evangélistája és nagykövete szeretnénk lenni Délkelet-Ázsiában, hogy előmozdítsuk a nyílt forráskódú szoftverek ellátási láncának biztonságát.”
- Dr. Liu Yang, a szingapúri Nanyang Műszaki Egyetem professzora és a Scantist társalapítója
SHE BASH
„Alapításunk óta a SHE BASH számos ragadozó iparági gyakorlatnak volt tanúja, amelyek a zárt forrás védőfátyolán keresztül ki vannak védve a kiterjedt ellenőrzéstől. Alapvetően a nyílt forráskódú szoftver egy olyan közintézmény, amely mindenki számára lehetővé teszi jövőjének építését.
„Az évtizedekig tartó apátia és a „nem érdekel” kultúráját fenntartó ösztönző mechanizmusok kombinációja lehetővé tette vállalatunk számára, hogy kiemelkedjen a technológia legnagyobb és legbűnösebb vállalatai közül. Mindig is a „legjobb gyakorlatot először” tekintettük az egyik fő értékajánlatnak, amelyet vállalatként tudunk nyújtani, bár kicsi. A nyílt forráskódú szoftverek egyenlő feltételeket biztosítottak számunkra ahhoz, hogy különbségeket tegyünk a kulcsfontosságú technológiai változásokban a közszférán belül, és ezeknek az elmozdulásoknak a fejlődése a nyílt forráskódból származó legjobb gyakorlatok kifejlesztése, amely fenntartja a mai szoftverélet egészét. Igazi megtiszteltetés, hogy segíthetek abban a munkában, amelyet az OpenSSF a több évtizedes elhanyagolásból eredő nagy szerkezeti hibák orvoslására vezet.”
- Cameron Banowsky, társalapító és CTØ, SHE BASH
Socket Security
„A havonta több mint 1 milliárd alkalommal telepített nyílt forráskódú csomagok karbantartójaként a Socket csapata jól ismeri a nyílt forráskódú függőség használatának hatalmas növekedését. A modern alkalmazások több ezer karbantartó által írt függőséget használnak, és akár egyetlen csomag telepítése is több tucat tranzitív függőséget eredményez. Sajnos túl könnyű egy rossz szereplőnek behatolni a szoftverellátási láncba, és pusztítást okozni. Éppen ezért a Socket büszke arra, hogy csatlakozik az OpenSSF-hez, és megtesz mindent annak érdekében, hogy a nyílt forráskód mindenki számára biztonságos legyen a szoftverösszetétel-elemzés iparágvezető megközelítésével, amelyet több ezer vállalat használ az ellátási lánc támadásainak észlelésére és megelőzésére. A Socket csapata izgatottan várja, hogy más OpenSSF tagvállalatokkal együttműködve mindenki számára megóvja a nyílt forráskódú ökoszisztémát.”
- Feross Aboukhadijeh, a Socket Security alapítója és vezérigazgatója
Sysdig
A Sysdig büszke arra, hogy az OpenSSF része, és együttműködik a nyílt forráskódú biztonsági szabványok iránymutatásában és a szoftverellátási lánc biztosításában. Nyílt forráskódra épülő felhőbiztonsági vállalatként úgy gondoljuk, hogy az iparágnak össze kell fognia a szoftverek közjót szolgáló megerősítése érdekében. Miután létrehoztuk a Falco-t és hozzájárultunk a CNCF-hez, hogy segítsük a futási időt, várjuk az OpenSSF-ben való nyílt együttműködés folytatását. A biztonság jövője nyitott, és amit most teszünk, az örökre formálja a szoftvereket.”
- Edd Wilder-James, a Sysdig nyílt forráskódú ökoszisztémájáért felelős alelnöke
Timesys
„A szoftverellátási lánc több mint 650%-os megszakadásával a szoftverellátási lánc biztonsága nagy hangsúlyt fektet. Több mint 5 éve dolgozunk olyan technológia fejlesztésén, amely segít megvédeni, felügyelni és karbantartani a nyílt forráskódú beágyazott Linux- és Android-eszközöket a kitettségekkel és sebezhetőségekkel szemben. Nagyon izgatottak vagyunk, hogy csatlakozhatunk ehhez a közösségi erőfeszítéshez az OpenSSF-fel, és újra a Linux Foundation részei lehetünk. A technológia megosztásával és a nyílt forráskódú technológiai fejlődést felgyorsító ökoszisztémák kiépítésével az eszközgyártók és a fogyasztók mindenhol könnyebben pihenhetnek, ha tudják, hogy biztonságban vannak.”
- Atul Bansal, a Timesys vezérigazgatója
ZTE Corporation
„Nagyon örülünk, hogy csatlakozhatunk az OpenSSF-hez. Világvezető kommunikációs berendezések gyártójaként egyre több nyílt forráskódú szoftvert használunk. Miközben aktívan alkalmazza a nyílt forráskódú szoftvereket, példátlan kockázatokat rejt magában a szoftverellátási lánc biztonságára nézve. A ZTE Corporation számos erőfeszítést tett a kockázatok ellenőrzésére és kezelésére, és ezeket a legfontosabb prioritásunknak tekinti. Az OpenSSF-hez való csatlakozást követően a ZTE Corporation hasonló elképzelésekkel és célokkal rendelkező tagokból álló csoporttal dolgozik együtt a nyílt forráskódú szoftverek ellátási láncának biztonságosabb irányba történő fejlesztésének elősegítésén.”
- Xiang Shuming, a ZTE Corporation OSS megfelelőségi és biztonsági irányítási igazgatója
További források
- Megnézem az OpenSSF 89 tagjának teljes listája
- Nézz a legutóbbi augusztusi OpenSSF Városháza
- Hozzájárulni az erőfeszítésekhez egy vagy több aktív OpenSSF munkacsoporthoz és projekthez
Az OpenSSF-ről
Az Open Source Security Foundation (OpenSSF) a Linux Foundation által üzemeltetett, ágazatközi szervezet, amely egyesíti az iparág legfontosabb nyílt forráskódú biztonsági kezdeményezéseit, valamint az azokat támogató magánszemélyeket és cégeket. Az OpenSSF elkötelezte magát amellett, hogy együttműködik és együttműködik mind a upstream, mind a meglévő közösségekkel annak érdekében, hogy mindenki számára előmozdítsa a nyílt forráskódú biztonságot. További információért látogasson el hozzánk a következő címen: openssf.org.
A Linux Alapítványról
A 2000-ben alapított Linux Alapítványt és projektjeit több mint 2,950 tag támogatja. A Linux Foundation a világ vezető otthona a nyílt forráskódú szoftverekkel, hardverekkel, szabványokkal és adatokkal kapcsolatos együttműködésben. A Linux Foundation projektek kritikus fontosságúak a világ infrastruktúrája szempontjából, beleértve a Linuxot, a Kuberneteset, a Node.js-t, az ONAP-t, a Hyperledgert, a RISC-V-t és még sok mást. A Linux Foundation módszertana a legjobb gyakorlatok kiaknázására, valamint a közreműködők, felhasználók és megoldásszállítók igényeinek kielégítésére összpontosít, hogy fenntartható modelleket hozzanak létre a nyílt együttműködéshez. További információért látogasson el hozzánk a címen linuxfoundation.org.
