SAN FRANCISCO, 17 augustus 2022 — De Open Source Beveiligingsstichting (OpenSSF), een brancheoverschrijdende organisatie gehost bij de Linux Foundation die 's werelds belangrijkste beveiligingsinitiatieven voor de toeleveringsketen van software samenbrengt, heeft woensdag 13 nieuwe leden aangekondigd uit toonaangevende financiële dienstverlening, technologie, werkgelegenheid, softwareontwikkeling, cyberbeveiliging, telecommunicatie en academische sectoren.
Nieuw premierlid, Capital One, treedt toe tot de OpenSSF-raad van bestuur. Nieuwe algemene ledentoezeggingen zijn afkomstig van Akamai, Indeed, Kasten by Veeam, Scantist, SHE BASH, Socket Security, Sysdig, Timesys en ZTE Corporation. Nieuwe geassocieerde leden zijn onder meer Eclipse Foundation, Purdue University en TODO Group. “We zijn verheugd nieuwe leden te mogen verwelkomen bij de OpenSSF”, zegt Brian Behlendorf, General Manager van OpenSSF. “Terwijl kwetsbaarheden in de beveiliging van open source-software de aandacht blijven trekken van overheden en bedrijven over de hele wereld, is de belangstelling voor het werk van OpenSSF snel toegenomen.”
“Een groeiende gemeenschap van organisaties, ontwikkelaars, onderzoekers en beveiligingsprofessionals investeert de tijd en middelen die nodig zijn om de open source-beveiliging te versterken”, zegt Jamie Thomas, bestuursvoorzitter van OpenSSF en IBM Enterprise Security Executive. “Nieuwe leden van OpenSSF treden toe in een tijd waarin sectoroverschrijdende samenwerking en innovatie meer dan ooit nodig zijn om proactief te reageren op wijdverbreide cyberveiligheidsbedreigingen.”
Het oplossen van de systemische problemen die hebben geleid tot grote beveiligingsproblemen, zoals het Log4shell-incident, benadrukt de urgentie en het belang van het werk van OpenSSF. In een recent rapport van de Cyber Safety Review Board werd verklaard dat Log4j een “endemische kwetsbaarheid” is geworden die nog jaren zal worden uitgebuit en dat de Mobilisatieplan van 10 punten eerder dit jaar geïntroduceerd op de Open Source Software Security Summit II door de OpenSSF zal de veerkracht en veiligheid van open source software verbeteren.
OpenSSF organiseert een volledige dag vol sessies op dinsdag 13 september om OpenSSF Dag EU aan de vooravond van Open Source Summit Europe (OSS EU) in Dublin. Leiders van werkgroepen en leden van de gemeenschap zullen sessies, panels en open haardgesprekken organiseren over lopende werkzaamheden om de softwaretoeleveringsketen en de toekomst van open source-beveiliging te beveiligen. Registratie en deelname is gratis voor iedereen die de OSS EU bijwoont.
Citaat van Premier-leden
Capital One
“Tegenwoordig zijn enkele van de meest baanbrekende digitale ervaringen die voor klanten zijn gemaakt, gebaseerd op open source-software. Als bedrijf dat deze technologie op grote schaal toepast, is Capital One ongelooflijk trots om zich aan te sluiten bij de OpenSSF en 's werelds technologieleiders terwijl we samenwerken om de toeleveringsketen voor softwarebeveiliging te versterken. Als sterk gereguleerd bedrijf zijn we ervaren in het beheren van compliance en governance en pleiten we voor standaardisatie, automatisering en samenwerking. We kijken ernaar uit om samen te werken om oplossingen te identificeren die de OpenOSSF-missie bevorderen en iets teruggeven aan de open source-gemeenschap.”
- Chris Nims, EVP Cloud & Productivity Engineering bij Capital One
Algemene ledencitaten
Akamai
“Het verbeteren van de beveiliging van open source software – zo centraal in het internet-ecosysteem – is een van de meest kritieke beveiligingsuitdagingen waarmee we vandaag de dag worden geconfronteerd. Alleen door inzicht te krijgen in het netwerk en de softwaretoeleveringsketen kunnen we beveiligingsfouten op betrouwbare wijze aanpakken wanneer deze zich op codeniveau voordoen. De technologiegemeenschap moet de open source-gemeenschappen waarvan we afhankelijk zijn ondersteunen met financiële en technologische middelen om ons collectieve risico te beperken. Als toonaangevende aanbieder van beveiligings- en clouddiensten kijken we ernaar uit om bij te dragen aan de Open Source Security Foundation en dit belangrijke werk te helpen bevorderen.”
- Robert Blumofe, EVP en CTO, Akamai
Kasten door Veeam
“We zijn vereerd om deel uit te maken van de Open Source Security Foundation (OpenSSF) en dit initiatief samen met onze collega’s te verdedigen. Kasten by Veeam heeft een open source-erfgoed en met Kubernetes-gegevensbescherming als ons kernaanbod blijft beveiliging een cruciale basis voor het ontwerp en de implementatie van Kasten K10. Terwijl de adoptie van Kubernetes de digitale transformatie voor ondernemingen blijft stimuleren, wordt er terecht meer aandacht besteed aan beveiliging, vooral met de onverbiddelijke opkomst van ransomware-aanvallen. Kasten by Veeam zet zich in voor het waarborgen van de veiligheid en gegevensbescherming van cloud-native omgevingen om bedrijfsapplicaties beter te beschermen.”
- Gaurav Rishi, vice-president producten en partnerschappen bij Kasten by Veeam
Scantist
“Aan de ene kant profiteert de software-industrie substantieel van de snelle groei van open source, dat de fundamentele bouwstenen van de digitale wereld is geworden. Aan de andere kant wordt open source-beveiliging steeds belangrijker en worden al deze risico's vermenigvuldigd door het onderling afhankelijke karakter van open source. Nu willen we als lid van OpenSSF graag bijdragen aan de OpenSSF-missies op basis van ons recente onderzoek naar open source-ecosysteemanalyse om een kwantitatief beeld te bieden om de complexiteit en veiligheid van open source te begrijpen. We willen de actieve deelnemer, evangelist en ambassadeur worden voor OSS-bestuur in Zuidoost-Azië om de beveiliging van de toeleveringsketen van open source-software te bevorderen.”
- Dr. Liu Yang, hoogleraar aan de Nanyang Technological University, Singapore en medeoprichter van Scantist
ZE BAS
“Sinds onze oprichting is SHE BASH getuige geweest van een verscheidenheid aan roofzuchtige praktijken in de sector die via de beschermende sluier van closed source worden beschermd tegen uitgebreid onderzoek. In onze kern is open source software een publieke instelling die iedereen in staat stelt zijn toekomst op te bouwen.
“De combinatie van tientallen jaren van apathie en de stimuleringsmechanismen die een cultuur van 'het maakt niet uit' in stand houden, heeft ervoor gezorgd dat ons bedrijf zich heeft kunnen onderscheiden van de grootste en meest schuldige bedrijven in de technologiesector. We hebben 'best practice eerst' altijd beschouwd als een van de belangrijkste waardeproposities die we als bedrijf kunnen bieden, ook al is het maar een kleine. Open Source Software bood ons een gelijk speelveld om verschillen te maken in belangrijke technologische verschuivingen binnen de publieke sector, en de evolutie van deze verschuivingen is de ontwikkeling van best practices die voortkomen uit de open source die het hele softwareleven van vandaag ondersteunt. Het is een echte eer om te mogen helpen bij het werk dat OpenSSF leidt tot het verhelpen van grote structurele fouten die voortkomen uit tientallen jaren van verwaarlozing.”
- Cameron Banowsky, mede-oprichter en CTØ, SHE BASH
Socket-beveiliging
“Als beheerders van open source-pakketten die meer dan 1 miljard keer per maand worden geïnstalleerd, is het Socket-team goed bekend met de enorme groei in het gebruik van open source-afhankelijkheid. Moderne applicaties maken gebruik van duizenden afhankelijkheden die zijn geschreven door honderden beheerders, en het installeren van zelfs maar één pakket leidt tot tientallen transitieve afhankelijkheden die daarbij komen kijken. Helaas is het voor een slechte actor veel te gemakkelijk om de softwaretoeleveringsketen te infiltreren en grote schade aan te richten. Daarom is Socket er trots op om zich bij OpenSSF aan te sluiten en ons steentje bij te dragen om open source veilig te maken voor iedereen met onze toonaangevende benadering van softwaresamenstellingsanalyse die door duizenden bedrijven wordt gebruikt om aanvallen op de toeleveringsketen te detecteren en te voorkomen. Het Socket-team is enthousiast om samen te werken met andere bedrijven die lid zijn van OpenSSF om het open source-ecosysteem voor iedereen te beschermen.”
- Feross Aboukhadijeh, oprichter en CEO van Socket Security
Sysdig
Sysdig is er trots op deel uit te maken van OpenSSF en samen te werken om open source-beveiligingsstandaarden te helpen begeleiden en de software-toeleveringsketen te beveiligen. Als cloudbeveiligingsbedrijf dat is gebouwd op open source, zijn wij van mening dat de industrie samen moet komen om software voor het algemeen belang te versterken. Nadat we Falco hebben gecreëerd en bijgedragen aan de CNCF om de runtime veilig te stellen, kijken we uit naar de voortzetting van de open samenwerking in de OpenSSF. De toekomst van beveiliging ligt open, en wat we nu doen zal software voor altijd vormgeven.”
- Edd Wilder-James, vice-president, Open Source Ecosystem bij Sysdig
Tijdsys
“Nu het aantal inbreuken op de software-toeleveringsketen met meer dan 650% is gestegen, is het beveiligen van de software-toeleveringsketen een groot aandachtspunt. We werken al meer dan vijf jaar aan de ontwikkeling van technologie om open source-gebaseerde embedded Linux- en Android-apparaten te helpen beveiligen, monitoren en onderhouden tegen blootstelling en kwetsbaarheden. We zijn zo opgewonden om deel uit te maken van deze gemeenschapsinspanning met OpenSSF en om weer deel uit te maken van de Linux Foundation. Door technologie te delen en samen te werken om ecosystemen op te bouwen die de ontwikkeling van open source-technologie versnellen, kunnen fabrikanten van apparaten en consumenten overal gerust zijn, wetende dat ze veilig zijn.”
- Atul Bansal, CEO van Timesys
ZTE Corporation
“We zijn erg blij om lid te worden van OpenSSF. Als wereldwijd toonaangevende fabrikant van communicatieapparatuur gebruiken wij steeds meer open source-software. Hoewel open source-software actief wordt omarmd, brengt het ook ongekende risico's met zich mee voor de beveiliging van de softwaretoeleveringsketen. ZTE Corporation heeft veel inspanningen geleverd om risico's te beheersen en te beheren, en beschouwt deze als onze topprioriteit. Na lid te zijn geworden van OpenSSF, werkt ZTE Corporation samen met een groep leden met vergelijkbare visies en doelen om de ontwikkeling van de toeleveringsketen van open source-software in een veiliger richting te bevorderen.”
- Xiang Shuming, directeur van OSS Compliance en Security Governance, ZTE Corporation
Aanvullende informatiebronnen
- Bekijk de volledige lijst van de 89 OpenSSF-leden
- Bekijk de introductievideo het recente OpenSSF-stadhuis van augustus
- Draag inspanningen bij aan een of meer van de actieve OpenSSF-werkgroepen en projecten
Over OpenSSF
De Open Source Security Foundation (OpenSSF) is een sectoroverschrijdende organisatie, gehost door de Linux Foundation, die de belangrijkste open source beveiligingsinitiatieven in de sector samenbrengt met de individuen en bedrijven die deze ondersteunen. De OpenSSF zet zich in voor samenwerking en werkt zowel upstream als met bestaande gemeenschappen om open source-beveiliging voor iedereen te bevorderen. Voor meer informatie kunt u ons bezoeken op: openssf.org.
Over de Linux Foundation
De Linux Foundation, opgericht in 2000, wordt met haar projecten ondersteund door ruim 2,950 leden. De Linux Foundation is 's werelds toonaangevende thuisbasis voor samenwerking op het gebied van open source software, hardware, standaarden en data. Linux Foundation-projecten zijn van cruciaal belang voor de infrastructuur van de wereld, waaronder Linux, Kubernetes, Node.js, ONAP, Hyperledger, RISC-V en meer. De methodologie van de Linux Foundation richt zich op het benutten van best practices en het tegemoetkomen aan de behoeften van bijdragers, gebruikers en aanbieders van oplossingen om duurzame modellen voor open samenwerking te creëren. Voor meer informatie kunt u ons bezoeken op linuxfoundation.org.
