SAN FRANCISCO, 17. august 2022 — De Open Source Security Foundation (OpenSSF), en organisasjon på tvers av bransje som arrangeres av Linux Foundation som samler verdens viktigste sikkerhetsinitiativer for programvareforsyningskjeden, kunngjorde onsdag 13 nye medlemmer fra ledende finansielle tjenester, teknologi, sysselsetting, programvareutvikling, cybersikkerhet, telekommunikasjon og akademiske sektorer.
Nytt fremste medlem, Capital One, slutter seg til OpenSSFs styre. Nye generelle medlemsforpliktelser kommer fra Akamai, Indeed, Kasten by Veeam, Scantist, SHE BASH, Socket Security, Sysdig, Timesys og ZTE Corporation. Nye assosierte medlemmer inkluderer Eclipse Foundation, Purdue University og TODO Group. "Vi er glade for å ønske nye medlemmer velkommen til OpenSSF," sier Brian Behlendorf, daglig leder for OpenSSF. "Ettersom sikkerhetssårbarheter for åpen kildekode fortsetter å trekke oppmerksomhet fra myndigheter og bedrifter over hele verden, har interessen for arbeidet til OpenSSF økt raskt."
"Et voksende fellesskap av organisasjoner, utviklere, forskere og sikkerhetseksperter investerer tiden og ressursene som trengs for å styrke åpen kildekode-sikkerhet," sa Jamie Thomas, styreleder for OpenSSF og IBM Enterprise Security Executive. "Nye medlemmer av OpenSSF slutter seg til i en tid hvor samarbeid og innovasjon på tvers av bransje er nødvendig mer enn noen gang for å proaktivt svare på gjennomgripende cybersikkerhetstrusler."
Å løse de systemiske problemene som førte til store sikkerhetssårbarheter som Log4shell-hendelsen understreker det haster og viktigheten av arbeidet til OpenSSF. En fersk rapport fra Cyber Safety Review Board erklærte at Log4j har blitt en "endemisk sårbarhet" som vil bli utnyttet i årene som kommer, og at 10-punkts mobiliseringsplan introdusert tidligere i år på Open Source Software Security Summit II av OpenSSF vil forbedre motstandskraften og sikkerheten til åpen kildekode-programvare.
OpenSSF vil arrangere en hel dag med økter tirsdag 13. september kl OpenSSF Day EU på tampen av Open Source Summit Europe (OSS EU) i Dublin. Arbeidsgruppeledere og fellesskapsmedlemmer vil være vertskap for økter, paneler og brannchatter om pågående arbeid for å sikre programvareforsyningskjeden og fremtiden for åpen kildekode-sikkerhet. Registrering og oppmøte er gratis for alle som deltar på OSS EU.
Sitat av Premier-medlem
Capital One
«I dag er noen av de mest banebrytende digitale opplevelsene skapt for kunder basert på åpen kildekode-programvare. Som et selskap som tar i bruk denne teknologien bredt, er Capital One utrolig stolte over å bli med i OpenSSF og verdens teknologiledere når vi samarbeider for å styrke forsyningskjeden for programvaresikkerhet. Som et høyt regulert selskap er vi erfarne i å administrere compliance og styring og går inn for standardisering, automatisering og samarbeid. Vi ser frem til å jobbe sammen for å identifisere løsninger som fremmer OpenOSSF-oppdraget og gir tilbake til åpen kildekode-fellesskapet."
- Chris Nims, EVP for Cloud & Productivity Engineering hos Capital One
Generelle medlemssitater
Akamai
«Å forbedre sikkerheten til åpen kildekode-programvare – så sentralt i internett-økosystemet – er en av de mest kritiske sikkerhetsutfordringene vi står overfor i dag. Bare ved å få innsyn i nettverket og programvareforsyningskjeden kan vi på en pålitelig måte løse sikkerhetsfeil når de oppstår på kodenivå. Teknologisamfunnet må støtte åpen kildekode-miljøene vi er avhengige av med økonomiske og teknologiske ressurser for å begrense vår kollektive risiko. Som en ledende leverandør av sikkerhets- og skytjenester ser vi frem til å bidra til Open Source Security Foundation og bidra til å fremme dette viktige arbeidet.»
- Robert Blumofe, EVP og CTO, Akamai
Kasten av Veeam
"Vi er beæret over å være en del av Open Source Security Foundation (OpenSSF) og forkjempe dette initiativet sammen med våre jevnaldrende. Kasten by Veeam har en åpen kildekode-arv, og med Kubernetes-databeskyttelse som kjernetilbudet vårt, er sikkerhet fortsatt et kritisk fundament for Kasten K10-design og implementering. Etter hvert som Kubernetes-adopsjonen fortsetter å gi næring til digitale transformasjonsreiser for bedrifter, rettes det mer oppmerksomhet mot sikkerhet, spesielt med den ubønnhørlige økningen av løsepengevareangrep. Kasten by Veeam er forpliktet til å sikre sikkerheten og databeskyttelsen til skybaserte miljøer for bedre å beskytte forretningsapplikasjoner."
- Gaurav Rishi, visepresident for produkter og partnerskap i Kasten by Veeam
Scantist
"På den ene siden drar programvareindustrien betydelig nytte av den raske veksten av åpen kildekode, som har blitt de grunnleggende byggesteinene i den digitale verden. På den annen side blir sikkerhet med åpen kildekode mer kritisk, og alle disse risikoene multipliseres med åpen kildekodes gjensidig avhengige natur. Nå som medlem av OpenSSF, ønsker vi å bidra til OpenSSF-oppdragene basert på vår nylige forskning på åpen kildekode-økosystemanalyse for å gi et kvantitativt syn for å forstå kompleksiteten og sikkerheten til åpen kildekode. Vi ønsker å bli den aktive deltakeren, evangelisten og ambassadøren for OSS-styring i Sørøst-Asia for å fremme åpen kildekode-sikkerhet i forsyningskjeden."
- Dr. Liu Yang, professor ved Nanyang Technological University, Singapore og medgründer av Scantist
HUN BASH
"Siden vår oppstart har SHE BASH vært vitne til en rekke rov industripraksis som blir skjermet fra omfattende gransking via det beskyttende sløret til lukket kilde. I kjernen vår er åpen kildekode-programvare en offentlig institusjon som gjør det mulig for alle å bygge sin fremtid.
"Kombinasjonen av tiår med apati og insentivmekanismene som opprettholder en kultur med 'ikke bryr seg' har gjort at selskapet vårt har skille seg ut blant teknologiens største og mest skyldige selskaper. Vi har alltid sett på «beste praksis først» som et av de viktigste verdiforslagene vi kan tilby som selskap, om enn en liten. Programvare med åpen kildekode ga oss like konkurransevilkår for å gjøre forskjeller i viktige teknologiske endringer innen offentlig sektor, og utviklingen av disse endringene er utviklingen av beste praksis fra åpen kildekode som opprettholder alt programvareliv i dag. Det er en sann ære å være til hjelp for arbeidet OpenSSF fører for å rette opp store strukturelle feil som har vokst frem fra tiår med omsorgssvikt.»
- Cameron Banowsky, medgründer og CTØ, SHE BASH
Socket Sikkerhet
"Som vedlikeholdere av åpen kildekode-pakker som installeres over 1 milliard ganger per måned, er Socket-teamet godt kjent med den massive veksten i bruk av åpen kildekodeavhengighet. Moderne applikasjoner bruker tusenvis av avhengigheter skrevet av hundrevis av vedlikeholdere, og å installere til og med én pakke fører til dusinvis av transitive avhengigheter som kommer med på turen. Dessverre er det altfor lett for en dårlig skuespiller å infiltrere programvareforsyningskjeden og skape kaos. Derfor er Socket stolte over å bli med i OpenSSF og gjøre vår del for å gjøre åpen kildekode trygg for alle med vår bransjeledende tilnærming til analyse av programvaresammensetning som brukes av tusenvis av selskaper for å oppdage og forhindre forsyningskjedeangrep. Socket-teamet er glade for å jobbe med andre OpenSSF-medlemsbedrifter for å sikre åpen kildekode-økosystemet for alle."
- Feross Aboukhadijeh, grunnlegger og administrerende direktør, Socket Security
Sysdig
Sysdig er stolt av å være en del av OpenSSF og jobbe sammen for å hjelpe til med å veilede sikkerhetsstandarder for åpen kildekode og sikre programvareforsyningskjeden. Som et skysikkerhetsselskap bygget på åpen kildekode, mener vi at industrien må gå sammen for å styrke programvare til felles beste. Etter å ha opprettet og bidratt med Falco til CNCF for å sikre kjøretiden, ser vi frem til å fortsette åpent samarbeid i OpenSSF. Fremtiden for sikkerhet er åpen, og det vi gjør nå vil forme programvare for alltid.»
- Edd Wilder-James, visepresident, åpen kildekode-økosystem hos Sysdig
Timesys
"Med brudd på programvareforsyningskjeden med mer enn 650 %, er sikring av programvareforsyningskjeden et stort fokus. Vi har jobbet i mer enn 5 år med å utvikle teknologi for å sikre, overvåke og vedlikeholde åpen kildekode-baserte innebygde Linux- og Android-enheter fra eksponeringer og sårbarheter. Vi er så glade for å være med på denne fellesskapsinnsatsen med OpenSSF og være en del av Linux Foundation igjen. Ved å dele teknologi og samarbeide for å bygge økosystemer som akselererer utviklingen av åpen kildekodeteknologi, vil enhetsprodusenter og forbrukere overalt kunne hvile lettere og vite at de er sikre.»
- Atul Bansal, administrerende direktør i Timesys
ZTE Corporation
"Vi er veldig glade for å bli med i OpenSSF. Som en verdensledende produsent av kommunikasjonsutstyr brukes mer og mer åpen kildekode-programvare av oss. Mens den aktivt omfavner åpen kildekode-programvare, bringer den også enestående risikoer for programvareforsyningskjeden. ZTE Corporation har gjort mange anstrengelser for å kontrollere og håndtere risikoer, og ser på dem som vår høyeste prioritet. Etter å ha blitt med i OpenSSF, jobber ZTE Corporation med en gruppe medlemmer med lignende visjoner og mål for å fremme utviklingen av programvareforsyningskjeden med åpen kildekode mot en sikrere retning."
- Xiang Shuming, direktør for OSS Compliance and Security Governance, ZTE Corporation
Tilleggsressurser
- Se den komplette listen over de 89 OpenSSF-medlemmene
- Se det nylige OpenSSF rådhuset i august
- Bidra med innsats til en eller flere av de aktive OpenSSF arbeidsgruppene og prosjektene
Om OpenSSF
Open Source Security Foundation (OpenSSF) er en organisasjon på tvers av bransje som drives av Linux Foundation som samler bransjens viktigste sikkerhetsinitiativer for åpen kildekode og enkeltpersoner og selskaper som støtter dem. OpenSSF er forpliktet til å samarbeide og jobbe både oppstrøms og med eksisterende fellesskap for å fremme åpen kildekode-sikkerhet for alle. For mer informasjon, vennligst besøk oss på: openssf.org.
Om Linux Foundation
Grunnlagt i 2000, Linux Foundation og dens prosjekter støttes av mer enn 2,950 medlemmer. Linux Foundation er verdens ledende hjem for samarbeid om åpen kildekode programvare, maskinvare, standarder og data. Linux Foundation-prosjekter er kritiske for verdens infrastruktur, inkludert Linux, Kubernetes, Node.js, ONAP, Hyperledger, RISC-V og mer. Linux Foundations metodikk fokuserer på å utnytte beste praksis og møte behovene til bidragsytere, brukere og løsningsleverandører for å skape bærekraftige modeller for åpent samarbeid. For mer informasjon, vennligst besøk oss på linuxfoundation.org.
