OpenSSF anunță 13 noi membri angajați să consolideze securitatea lanțului de aprovizionare cu software cu sursă deschisă

SAN FRANCISCO, 17 august 2022 — Open Source Security Foundation (OpenSSF), o organizație intersectorială găzduită de Fundația Linux care reunește cele mai importante inițiative de securitate a lanțului de aprovizionare cu software din lume, a anunțat miercuri 13 noi membri din sectoarele de conducere financiare, tehnologie, angajare, dezvoltare software, securitate cibernetică, telecomunicații și academice.

Noul membru premier, Capital One, se alătură Consiliului de conducere al OpenSSF. Noi angajamente generale ale membrilor provin de la Akamai, Indeed, Kasten by Veeam, Scantist, SHE BASH, Socket Security, Sysdig, Timesys și ZTE Corporation. Noii membri asociați includ Eclipse Foundation, Purdue University și TODO Group. „Suntem încântați să urăm bun venit noilor membri la OpenSSF”, spune Brian Behlendorf, director general al OpenSSF. „Pe măsură ce vulnerabilitățile de securitate software open source continuă să atragă atenția guvernelor și a întreprinderilor din întreaga lume, interesul pentru activitatea OpenSSF a crescut rapid.”

„O comunitate în creștere de organizații, dezvoltatori, cercetători și profesioniști în securitate investește timpul și resursele necesare pentru a consolida securitatea open source”, a declarat Jamie Thomas, președinte al consiliului de administrație al OpenSSF și IBM Enterprise Security Executive. „Noi membri ai OpenSSF se alătură într-un moment în care colaborarea interprofesională și inovarea sunt necesare mai mult ca niciodată pentru a răspunde în mod proactiv la amenințările generalizate de securitate cibernetică.”

Rezolvarea problemelor sistemice care au condus la vulnerabilități majore de securitate, cum ar fi incidentul Log4shell, subliniază urgența și importanța activității OpenSSF. Un raport recent al Consiliului de evaluare a siguranței cibernetice a declarat că Log4j a devenit o „vulnerabilitate endemică” care va fi exploatată în anii următori și că Plan de mobilizare în 10 puncte introdus la începutul acestui an la Open Source Software Security Summit II de către OpenSSF va îmbunătăți rezistența și securitatea software-ului open source.

OpenSSF va găzdui o zi întreagă de sesiuni marți, 13 septembrie, la ora OpenSSF Day UE în ajunul Open Source Summit Europe (OSS EU) de la Dublin. Liderii grupului de lucru și membrii comunității vor găzdui sesiuni, paneluri și discuții la foc despre munca în desfășurare pentru a securiza lanțul de aprovizionare cu software și viitorul securității open source. Înscriere iar participarea este gratuită pentru toți cei care participă la OSS EU.

Citat de membru Premier

Capital One

„Astăzi, unele dintre cele mai inovatoare experiențe digitale create pentru clienți se bazează pe software open source. Fiind o companie care adoptă pe scară largă această tehnologie, Capital One este incredibil de mândru să se alăture OpenSSF și liderilor mondiali în tehnologie, în timp ce colaborăm pentru a consolida lanțul de aprovizionare pentru securitatea software. În calitate de companie foarte reglementată, suntem experimentați în gestionarea conformității și a guvernării și susținem standardizarea, automatizarea și colaborarea. Așteptăm cu nerăbdare să lucrăm împreună pentru a identifica soluții care promovează misiunea OpenOSSF și să ofere înapoi comunității open source.”

• Chris Nims, EVP of Cloud & Productivity Engineering la Capital One

Citate generale pentru membri

Akamai

„Îmbunătățirea securității software-ului open source – atât de esențial pentru ecosistemul internetului – este una dintre cele mai critice provocări de securitate cu care ne confruntăm astăzi. Doar câștigând vizibilitate în rețea și lanțul de aprovizionare cu software putem aborda în mod fiabil defectele de securitate atunci când acestea apar la nivel de cod. Comunitatea tehnologică trebuie să sprijine comunitățile open source de care depindem cu resurse financiare și tehnologice pentru a ne limita riscul colectiv. În calitate de furnizor de top de securitate și servicii cloud, așteptăm cu nerăbdare să contribuim la Open Source Security Foundation și să contribuim la avansarea acestei lucrări importante.”

• Robert Blumofe, EVP și CTO, Akamai

Kasten de Veeam

„Suntem onorați să facem parte din Open Source Security Foundation (OpenSSF) și să susținem această inițiativă alături de colegii noștri. Kasten by Veeam are o moștenire open source, iar cu protecția datelor Kubernetes ca ofertă principală, securitatea rămâne o bază esențială pentru proiectarea și implementarea Kasten K10. Pe măsură ce adoptarea Kubernetes continuă să alimenteze călătoriile de transformare digitală pentru întreprinderi, se acordă mai multă atenție pe bună dreptate securității, în special odată cu creșterea inexorabilă a atacurilor ransomware. Kasten by Veeam se angajează să asigure securitatea și protecția datelor din mediile native cloud pentru a proteja mai bine aplicațiile de afaceri.”

• Gaurav Rishi, vicepreședinte pentru produse și parteneriate la Kasten by Veeam

Scantist

„Pe de o parte, industria software-ului beneficiază substanțial de pe urma creșterii rapide a sursei deschise, care a devenit elementele de bază ale lumii digitale. Pe de altă parte, securitatea open source devine din ce în ce mai critică și toate aceste riscuri sunt multiplicate de natura interdependentă a open source. Acum, ca membru al OpenSSF, ne-ar dori să contribuim la misiunile OpenSSF pe baza cercetărilor noastre recente privind analiza ecosistemului open source pentru a oferi o viziune cantitativă pentru a înțelege complexitatea și securitatea open source. Dorim să devenim participantul activ, evanghelist și ambasador pentru guvernarea OSS în Asia de Sud-Est pentru a promova securitatea lanțului de aprovizionare cu software open source.”

• Dr. Liu Yang, profesor la Nanyang Technological University, Singapore și co-fondator al Scantist

EA BASH

„De la înființarea noastră, SHE BASH a fost martoră la o varietate de practici de pradă din industrie, care sunt protejate de un control amplu prin vălul de protecție al sursei închise. La baza noastră, software-ul open source este o instituție publică care permite tuturor să-și construiască viitorul.

„Combinația de decenii de apatie și mecanismele de stimulare care susțin o cultură a „nu-mi pasă” a permis companiei noastre să iasă în evidență printre cele mai mari și mai vinovate companii din domeniul tehnologiei. Am considerat întotdeauna „cele mai bune practici în primul rând” drept una dintre principalele propuneri de valoare pe care le putem oferi ca companie, deși una mică. Software-ul cu sursă deschisă ne-a oferit condițiile de concurență echitabile pentru a face diferențe în schimbările tehnologice cheie din sectorul public, iar evoluția acestor schimbări este dezvoltarea celor mai bune practici născute din sursa deschisă care susține întreaga viață software de astăzi. Este o adevărată onoare să fii de ajutor lucrării pe care OpenSSF o duce pentru a remedia greșelile structurale mari care au apărut în urma deceniilor de neglijare.”

• Cameron Banowsky, co-fondator și CTØ, SHE BASH

Socket Security

„În calitate de menținători ai pachetelor open source care sunt instalate de peste 1 miliard de ori pe lună, echipa Socket este foarte familiarizată cu creșterea masivă a utilizării dependenței de open source. Aplicațiile moderne folosesc mii de dependențe scrise de sute de menținători, iar instalarea chiar și a unui singur pachet duce la zeci de dependențe tranzitive. Din păcate, este mult prea ușor pentru un actor rău să se infiltreze în lanțul de aprovizionare cu software și să facă ravagii. De aceea, Socket este mândru să se alăture OpenSSF și să ne facă partea pentru a face open source sigură pentru toată lumea, cu abordarea noastră de lider în industrie a analizei compoziției software, care este folosită de mii de companii pentru a detecta și a preveni atacurile lanțului de aprovizionare. Echipa Socket este încântată să lucreze cu alte companii membre OpenSSF pentru a proteja ecosistemul open source pentru toată lumea.”

• Feross Aboukhadijeh, fondator și CEO, Socket Security

Sysdig

Sysdig este mândru să facă parte din OpenSSF și să lucreze împreună pentru a ajuta la ghidarea standardelor de securitate open source și a securiza lanțul de aprovizionare cu software. În calitate de companie de securitate în cloud construită pe sursă deschisă, credem că industria trebuie să se unească pentru a consolida software-ul pentru binele comun. După ce a creat și a contribuit cu Falco la CNCF pentru a ajuta la securizarea timpului de execuție, așteptăm cu nerăbdare să continuăm colaborarea deschisă în OpenSSF. Viitorul securității este deschis, iar ceea ce facem acum va modela software-ul pentru totdeauna.”

• Edd Wilder-James, Vicepreședinte, Ecosistem Open Source la Sysdig

Timesys

„În momentul în care lanțul de aprovizionare software este încălcat cu peste 650%, securizarea lanțului de aprovizionare software este un obiectiv important. Lucrăm de mai bine de 5 ani la dezvoltarea tehnologiei pentru a ajuta la securizarea, monitorizarea și menținerea dispozitivelor Linux și Android încorporate bazate pe sursă deschisă împotriva expunerilor și vulnerabilităților. Suntem atât de încântați să ne alăturăm acestui efort comunității cu OpenSSF și să fim din nou parte a Fundației Linux. Prin partajarea tehnologiei și colaborarea pentru a construi ecosisteme care accelerează dezvoltarea tehnologiei open-source, producătorii de dispozitive și consumatorii de pretutindeni vor putea să se odihnească mai ușor știind că sunt în siguranță.”

• Atul Bansal, CEO Timesys

ZTE Corporation

„Suntem foarte încântați să ne alăturăm OpenSSF. În calitate de producător de echipamente de comunicații lider la nivel mondial, noi folosim tot mai mult software open source. În timp ce adoptă în mod activ software-ul open source, acesta aduce, de asemenea, riscuri fără precedent pentru securitatea lanțului de aprovizionare cu software. ZTE Corporation a depus multe eforturi pentru a controla și gestiona riscurile și le consideră prioritare. După ce s-a alăturat OpenSSF, ZTE Corporation lucrează cu un grup de membri cu viziuni și obiective similare pentru a promova dezvoltarea lanțului de aprovizionare cu software open source către o direcție mai sigură.”

• Xiang Shuming, director al OSS Compliance and Security Governance, ZTE Corporation

Resurse suplimentare

• Vizualizare lista completă a celor 89 de membri OpenSSF
• Ceas recenta primărie OpenSSF din august
• Contribuie la eforturi la unul sau mai multe dintre grupurile de lucru și proiectele active OpenSSF

Despre OpenSSF

Open Source Security Foundation (OpenSSF) este o organizație inter-industrială găzduită de Linux Foundation, care reunește cele mai importante inițiative de securitate open source din industrie și persoanele și companiile care le susțin. OpenSSF se angajează să colaboreze și să lucreze atât în ​​amonte, cât și cu comunitățile existente pentru a promova securitatea open source pentru toți. Pentru mai multe informații, vă rugăm să ne vizitați la: openssf.org.

Despre Linux Foundation

Fondată în 2000, Fundația Linux și proiectele sale sunt susținute de peste 2,950 de membri. Fundația Linux este principala casă din lume pentru colaborare pe software, hardware, standarde și date open source. Proiectele Linux Foundation sunt esențiale pentru infrastructura mondială, inclusiv Linux, Kubernetes, Node.js, ONAP, Hyperledger, RISC-V și multe altele. Metodologia Fundației Linux se concentrează pe valorificarea celor mai bune practici și pe abordarea nevoilor colaboratorilor, utilizatorilor și furnizorilor de soluții pentru a crea modele durabile de colaborare deschisă. Pentru mai multe informații, vă rugăm să ne vizitați la linuxfoundation.org.