סן פרנסיסקו, 17 באוגוסט 2022 — השמיים קרן אבטחת קוד פתוח (OpenSSF), ארגון חוצה תעשיות המתארח ב-Linux Foundation המאגד את יוזמות אבטחת שרשרת אספקת התוכנה החשובות בעולם, הכריז ביום רביעי על 13 חברים חדשים משירותים פיננסיים מובילים, טכנולוגיה, תעסוקה, פיתוח תוכנה, אבטחת סייבר, טלקומוניקציה, ו מגזרים אקדמיים.
חבר ראשי חדש, Capital One, מצטרף למועצה המנהלת של OpenSSF. התחייבויות חדשות של חברים כלליות מגיעות מ-Akamai, Indeed, Kasten by Veeam, Scantist, SHE BASH, Socket Security, Sysdig, Timesys ו-ZTE Corporation. חברים שותפים חדשים כוללים Eclipse Foundation, Purdue University ו-TODO Group. "אנו נרגשים לקבל בברכה חברים חדשים ל-OpenSSF", אומר בריאן בהלנדורף, מנהל כללי של OpenSSF. "כאשר פרצות אבטחת תוכנה בקוד פתוח ממשיכות למשוך תשומת לב מממשלות ועסקים ברחבי העולם, העניין בעבודה של OpenSSF גדל במהירות."
"קהילה הולכת וגדלה של ארגונים, מפתחים, חוקרים ואנשי אבטחה משקיעה את הזמן והמשאבים הדרושים כדי לחזק את אבטחת הקוד הפתוח", אמר ג'יימי תומס, יו"ר מועצת המנהלים של OpenSSF ומנהל אבטחת הארגונים של IBM. "חברים חדשים ב-OpenSSF מצטרפים בתקופה שבה נדרשים שיתוף פעולה וחדשנות בין-תעשיות יותר מתמיד כדי להגיב באופן יזום לאיומי אבטחת סייבר נרחבים".
פתרון הבעיות המערכתיות שהובילו לפרצות אבטחה גדולות כמו תקרית Log4shell מדגיש את הדחיפות והחשיבות של העבודה של OpenSSF. דו"ח אחרון של מועצת סקירת בטיחות הסייבר הכריז כי Log4j הפך ל"פגיעות אנדמית" שתנוצל במשך שנים רבות וכי תוכנית גיוס 10 נקודות שהוצג מוקדם יותר השנה ב-Open Source Software Security Summit II על ידי OpenSSF ישפר את הגמישות והאבטחה של תוכנת קוד פתוח.
OpenSSF תארח יום שלם של מפגשים ביום שלישי, 13 בספטמבר, בשעה יום OpenSSF האיחוד האירופי ערב פסגת הקוד הפתוח באירופה (OSS EU) בדבלין. מנהיגי קבוצות העבודה וחברי הקהילה יארחו מפגשים, פאנלים וצ'אטים על האח על עבודה מתמשכת לאבטחת שרשרת אספקת התוכנה ועתיד אבטחת הקוד הפתוח. הַרשָׁמָה וההשתתפות ללא תשלום עבור כל המשתתפים ב-OSS EU.
ציטוט חבר פרמייר
קפיטל אחד
"היום כמה מהחוויות הדיגיטליות פורצות הדרך שנוצרו עבור לקוחות מבוססות על תוכנת קוד פתוח. כחברה המאמצת טכנולוגיה זו באופן נרחב, Capital One גאה להפליא להצטרף ל-OpenSSF ולמובילי הטכנולוגיה בעולם, כאשר אנו משתפים פעולה כדי לחזק את שרשרת אספקת אבטחת התוכנה. כחברה עם רגולציה גבוהה, אנו מנוסים בניהול ציות וממשל ודוגלים בסטנדרטיזציה, אוטומציה ושיתוף פעולה. אנו מצפים לעבוד יחד כדי לזהות פתרונות שיקדמו את משימת OpenOSSF ויחזירו לקהילת הקוד הפתוח".
- כריס נימס, סמנכ"ל הנדסת ענן ופרודוקטיביות ב-Capital One
ציטוטי חברים כלליים
Akamai
"שיפור האבטחה של תוכנת קוד פתוח - כה מרכזי באקוסיסטם האינטרנטי - הוא אחד מאתגרי האבטחה הקריטיים ביותר שאנו מתמודדים איתנו כיום. רק על ידי השגת נראות לרשת ולשרשרת אספקת התוכנה נוכל לטפל בצורה מהימנה בפגמי אבטחה כשהם מתרחשים ברמת הקוד. קהילת הטכנולוגיה חייבת לתמוך בקהילות הקוד הפתוח בהן אנו תלויים במשאבים פיננסיים וטכנולוגיים כדי להגביל את הסיכון הקולקטיבי שלנו. כספקית שירותי אבטחה וענן מובילה, אנו מצפים לתרום לקרן האבטחה בקוד פתוח ולעזור לקדם את העבודה החשובה הזו".
- רוברט בלומופה, סמנכ"ל ו-CTO, Akamai
Kasten מאת Veeam
"אנחנו מתכבדים להיות חלק מקרן האבטחה בקוד פתוח (OpenSSF) ולתמוך ביוזמה זו לצד עמיתינו. ל-Kasten by Veeam יש מורשת קוד פתוח, ועם הגנת נתונים של Kubernetes כהיצע הליבה שלנו, האבטחה נשארת בסיס קריטי לתכנון והטמעה של Kasten K10. ככל שאימוץ Kubernetes ממשיך לתדלק מסעות טרנספורמציה דיגיטלית עבור ארגונים, תשומת לב רבה יותר מופנית בצדק לאבטחה, במיוחד עם העלייה הבלתי נמנעת של התקפות כופר. Kasten by Veeam מחויבת להבטיח את האבטחה והגנת הנתונים של סביבות מקוריות בענן כדי להגן טוב יותר על יישומים עסקיים."
- גאורב רישי, סגן נשיא למוצרים ושותפויות ב- Kasten by Veeam
סקנטיסט
"מצד אחד, תעשיית התוכנה נהנית משמעותית מהצמיחה המהירה של הקוד הפתוח, שהפך לאבני הבניין הבסיסיות של העולם הדיגיטלי. מצד שני, אבטחת הקוד הפתוח הופכת לקריטית יותר וכל הסיכונים הללו מוכפלים באופי התלות ההדדית של הקוד הפתוח. כעת, כחבר ב-OpenSSF, ברצוננו לתרום למשימות OpenSSF בהתבסס על המחקר האחרון שלנו על ניתוח מערכות אקולוגיות בקוד פתוח כדי לספק מבט כמותי להבנת המורכבות והאבטחה של קוד פתוח. אנחנו רוצים להיות המשתתף הפעיל, האוונגליסט והשגריר של ממשל OSS בדרום מזרח אסיה כדי לקדם אבטחת שרשרת אספקת תוכנה בקוד פתוח".
- ד"ר ליו יאנג, פרופסור באוניברסיטה הטכנולוגית נאניאנג, סינגפור ומייסד שותף של סקאנטיסט
היא בושה
"מאז הקמתנו, SHE BASH הייתה עדה למגוון של שיטות תעשייתיות טורפות, אשר זוכות להגנה מפני בדיקה מקיפה באמצעות מעטה המגן של מקור סגור. בליבה שלנו, תוכנת קוד פתוח היא מוסד ציבורי המאפשר לכל אחד לבנות את עתידו.
"השילוב של עשרות שנים של אדישות ומנגנוני התמריצים המקיימים תרבות של 'לא אכפת' איפשר לחברה שלנו להתבלט בין החברות הגדולות והאשמות ביותר בטכנולוגיה. תמיד התייחסנו ל'תרגול מומלץ תחילה' כאחת מהצעות הערך העיקריות שאנו יכולים לספק כחברה, אם כי קטנה. תוכנת קוד פתוח סיפקה לנו את מגרש המשחקים השווה ליצירת הבדלים בשינויים טכנולוגיים מרכזיים במגזר הציבורי, וההתפתחות של השינויים הללו היא פיתוח של שיטות עבודה מומלצות שנולדו מהקוד הפתוח המקיים את כל חיי התוכנה כיום. זה כבוד אמיתי להיות לעזר בעבודה ש- OpenSSF מובילה לתיקון טעויות מבניות גדולות שצמחו מעשרות שנים של הזנחה".
- קמרון בנובסקי, מייסד שותף ו-CTØ, SHE BASH
אבטחת שקעים
"כמתחזקים חבילות קוד פתוח המותקנות למעלה ממיליארד פעמים בחודש, צוות Socket מכיר מקרוב את הגידול האדיר בשימוש בתלות בקוד פתוח. אפליקציות מודרניות משתמשות באלפי תלות שנכתבו על ידי מאות מתחזקים, והתקנת אפילו חבילה אחת מובילה לעשרות תלות טרנזיטיביות שמגיעות לנסיעה. למרבה הצער, קל מדי לשחקן רע לחדור לשרשרת אספקת התוכנה ולזרוע הרס. לכן Socket גאה להצטרף ל-OpenSSF ולעשות את חלקנו כדי להפוך את הקוד הפתוח לבטוח לכולם עם הגישה המובילה שלנו בתעשייה לניתוח הרכב תוכנה המשמשת אלפי חברות כדי לזהות ולמנוע התקפות שרשרת אספקה. צוות Socket נרגש לעבוד עם חברות אחרות החברות ב-OpenSSF כדי להגן על המערכת האקולוגית של הקוד הפתוח לכולם".
- Feross Abukhadijeh, מייסד ומנכ"ל, Socket Security
סיסדיג
Sysdig גאה להיות חלק מ-OpenSSF ולעבוד יחד כדי לעזור להנחות תקני אבטחה בקוד פתוח ולאבטח את שרשרת אספקת התוכנה. כחברת אבטחת ענן הבנויה על קוד פתוח, אנו מאמינים שהתעשייה חייבת להתאחד כדי לחזק את התוכנה לטובת הכלל. לאחר שיצרנו ותרם את Falco ל-CNCF כדי לעזור לאבטח את זמן הריצה, אנו מצפים להמשך שיתוף הפעולה הפתוח ב-OpenSSF. עתיד האבטחה פתוח, ומה שאנו עושים כעת יעצב תוכנה לנצח".
- אד ויילדר-ג'יימס, סגן נשיא, מערכת אקולוגית בקוד פתוח ב-Sysdig
טיימסיס
"עם פריצת שרשרת אספקת התוכנה ביותר מ-650%, אבטחת שרשרת אספקת התוכנה היא מוקד גדול. אנחנו עובדים כבר יותר מ-5 שנים בפיתוח טכנולוגיה כדי לעזור לאבטח, לנטר ולתחזק מכשירי Linux ו-Android משובצים מבוססי קוד פתוח מפני חשיפות ופגיעויות. אנחנו כל כך נרגשים להצטרף למאמץ הקהילתי הזה עם OpenSSF ולהיות שוב חלק מקרן לינוקס. על ידי שיתוף טכנולוגיה ושיתוף פעולה לבניית מערכות אקולוגיות שמאיצות פיתוח טכנולוגיות קוד פתוח, יצרני מכשירים וצרכנים בכל מקום יוכלו להיות רגועים יותר בידיעה שהם מאובטחים".
- אטול בנסל, מנכ"ל Timesys
תאגיד ZTE
"אנו שמחים מאוד להצטרף ל-OpenSSF. כיצרנית ציוד תקשורת מובילה בעולם, יותר ויותר תוכנות קוד פתוח משמשות אותנו. תוך אימוץ פעיל של תוכנת קוד פתוח, זה גם מביא סיכונים חסרי תקדים לאבטחת שרשרת אספקת התוכנה. תאגיד ZTE עשה מאמצים רבים לשלוט ולנהל סיכונים, ורואה בהם בראש סדר העדיפויות שלנו. לאחר ההצטרפות ל-OpenSSF, תאגיד ZTE עובד עם קבוצה של חברים עם חזונות ויעדים דומים כדי לקדם את הפיתוח של שרשרת אספקת תוכנת קוד פתוח לכיוון בטוח יותר".
- שיאנג שמינג, מנהל תאימות OSS וממשל אבטחה, ZTE Corporation
משאבים נוספים
- לצפיה הרשימה המלאה של 89 חברי OpenSSF
- שעון בית העירייה OpenSSF האחרון באוגוסט
- תרמו מאמצים לאחת או יותר מקבוצות העבודה והפרויקטים הפעילים של OpenSSF
על OpenSSF
קרן האבטחה בקוד פתוח (OpenSSF) היא ארגון חוצה תעשיות המתארח על ידי קרן לינוקס, המאגד את יוזמות אבטחת הקוד הפתוח החשובות ביותר בתעשייה לבין האנשים והחברות התומכות בהן. ה-OpenSSF מחויב לשיתוף פעולה ולעבוד הן במעלה הזרם והן עם קהילות קיימות כדי לקדם אבטחת קוד פתוח לכולם. למידע נוסף, אנא בקרו אותנו בכתובת: openssf.org.
על קרן לינוקס
קרן לינוקס והפרויקטים שלה, שנוסדה בשנת 2000, נתמכים על ידי יותר מ-2,950 חברים. קרן לינוקס היא הבית המוביל בעולם לשיתוף פעולה בנושא תוכנות, חומרה, תקנים ונתונים בקוד פתוח. פרויקטים של קרן Linux הם קריטיים לתשתית העולמית כולל לינוקס, Kubernetes, Node.js, ONAP, Hyperledger, RISC-V ועוד. המתודולוגיה של קרן לינוקס מתמקדת במינוף שיטות עבודה מומלצות ובמתן מענה לצרכים של תורמים, משתמשים וספקי פתרונות ליצירת מודלים ברי קיימא לשיתוף פעולה פתוח. למידע נוסף, אנא בקר אותנו בכתובת linuxfoundation.org.
