OpenSSF объявляет о 13 новых членах, приверженных укреплению безопасности цепочки поставок программного обеспечения с открытым исходным кодом

САН-ФРАНЦИСКО, 17 августа 2022 г. — Ассоциация Фонд безопасности с открытым исходным кодом (OpenSSF), межотраслевая организация, базирующаяся в Linux Foundation, которая объединяет наиболее важные в мире инициативы по обеспечению безопасности цепочки поставок программного обеспечения, в среду объявила о 13 новых членах из ведущих финансовых служб, технологий, занятости, разработки программного обеспечения, кибербезопасности, телекоммуникаций и академические секторы.

Новый главный член, Capital One, присоединяется к Совету управляющих OpenSSF. Новые общие обязательства участников исходят от Akamai, Indeed, Kasten by Veeam, Scantist, SHE BASH, Socket Security, Sysdig, Timesys и ZTE Corporation. В число новых ассоциированных членов входят Eclipse Foundation, Purdue University и TODO Group. «Мы рады приветствовать новых участников OpenSSF, — говорит Брайан Белендорф, генеральный менеджер OpenSSF. «По мере того, как уязвимости безопасности программного обеспечения с открытым исходным кодом продолжают привлекать внимание правительств и бизнеса во всем мире, интерес к работе OpenSSF быстро растет».

«Растущее сообщество организаций, разработчиков, исследователей и специалистов по безопасности инвестирует время и ресурсы, необходимые для усиления безопасности с открытым исходным кодом, — сказал Джейми Томас, председатель правления OpenSSF и исполнительный директор IBM Enterprise Security. «Новые члены OpenSSF присоединяются в то время, когда межотраслевое сотрудничество и инновации необходимы больше, чем когда-либо, чтобы активно реагировать на широко распространенные угрозы кибербезопасности».

Решение системных проблем, которые привели к серьезным уязвимостям безопасности, таким как инцидент с Log4shell, подчеркивает безотлагательность и важность работы OpenSSF. В недавнем отчете Наблюдательного совета по кибербезопасности говорится, что Log4j стал «повсеместной уязвимостью», которая будет использоваться в ближайшие годы, и что План мобилизации из 10 пунктов представленный ранее в этом году на Саммите по безопасности программного обеспечения с открытым исходным кодом II организацией OpenSSF, повысит отказоустойчивость и безопасность программного обеспечения с открытым исходным кодом.

OpenSSF проведет полнодневные сессии во вторник, 13 сентября, в День OpenSSF в Европе накануне Open Source Summit Europe (OSS EU) в Дублине. Руководители рабочих групп и члены сообщества будут проводить заседания, панели и беседы у камина о текущей работе по обеспечению безопасности цепочки поставок программного обеспечения и будущему безопасности с открытым исходным кодом. Регистрация и посещение бесплатно для всех, кто посещает OSS EU.

Цитата премьер-министра

Capital One

«Сегодня некоторые из самых новаторских цифровых решений, созданных для клиентов, основаны на программном обеспечении с открытым исходным кодом. Как компания, которая широко внедряет эту технологию, Capital One невероятно гордится тем, что присоединилась к OpenSSF и мировым технологическим лидерам, поскольку мы сотрудничаем, чтобы укрепить цепочку поставок программного обеспечения. Как строго регулируемая компания, мы обладаем опытом в управлении соблюдением нормативных требований и управлении и выступаем за стандартизацию, автоматизацию и совместную работу. Мы рассчитываем на совместную работу над поиском решений, которые продвигают миссию OpenOSSF и приносят пользу сообществу открытого исходного кода».

• Крис Нимс, исполнительный вице-президент по облачным технологиям и повышению производительности в Capital One

Общие Цитаты Участников

Akamai

«Повышение безопасности программного обеспечения с открытым исходным кодом, столь важного для интернет-экосистемы, является одной из самых серьезных проблем безопасности, с которыми мы сталкиваемся сегодня. Только получив представление о сети и цепочке поставок программного обеспечения, мы можем надежно устранять недостатки безопасности, когда они возникают на уровне кода. Технологическое сообщество должно поддерживать сообщества открытого исходного кода, от которых мы зависим, финансовыми и технологическими ресурсами, чтобы ограничить наш коллективный риск.. Как ведущий поставщик услуг безопасности и облачных сервисов, мы с нетерпением ждем возможности внести свой вклад в Open Source Security Foundation и помочь в продвижении этой важной работы».

• Роберт Блумоф, исполнительный вице-президент и технический директор, Akamai

Kasten от Veeam

«Для нас большая честь быть частью Open Source Security Foundation (OpenSSF) и отстаивать эту инициативу вместе с нашими коллегами. Kasten от Veeam имеет наследие с открытым исходным кодом, и, поскольку защита данных Kubernetes является нашим основным предложением, безопасность остается важнейшей основой для разработки и внедрения Kasten K10. По мере того, как внедрение Kubernetes продолжает стимулировать цифровую трансформацию предприятий, все больше внимания по праву уделяется безопасности, особенно в связи с неумолимым ростом числа атак программ-вымогателей. Kasten by Veeam стремится обеспечить безопасность и защиту данных в облачных средах для лучшей защиты бизнес-приложений».

• Гаурав Риши, вице-президент по продуктам и партнерским отношениям в Kasten by Veeam

Скантист

«С одной стороны, индустрия программного обеспечения получает существенную выгоду от быстрого роста открытого исходного кода, который стал основным строительным блоком цифрового мира. С другой стороны, безопасность открытого исходного кода становится все более важной, и все эти риски умножаются на взаимозависимую природу открытого исходного кода. Теперь, как член OpenSSF, мы хотели бы внести свой вклад в миссии OpenSSF на основе нашего недавнего исследования по анализу экосистемы с открытым исходным кодом, чтобы предоставить количественную картину для понимания сложности и безопасности открытого исходного кода. Мы хотим стать активным участником, евангелистом и послом управления OSS в Юго-Восточной Азии, чтобы продвигать безопасность цепочки поставок программного обеспечения с открытым исходным кодом».

• Д-р Лю Ян, профессор Наньянского технологического университета, Сингапур и соучредитель Scantist

ОНА БАШ

«С момента своего создания SHE BASH стал свидетелем множества хищнических практик в отрасли, которые защищены от тщательного изучения защитной завесой закрытого источника. По нашей сути, программное обеспечение с открытым исходным кодом — это общественное учреждение, которое позволяет каждому строить свое будущее.

«Сочетание десятилетий апатии и механизмов стимулирования, поддерживающих культуру «все равно», позволило нашей компании выделиться среди крупнейших и наиболее виновных технологических компаний. Мы всегда считали принцип «прежде всего передовой опыт» одним из основных ценностных предложений, которые мы можем предложить как компания, хотя и небольшая. Программное обеспечение с открытым исходным кодом предоставило нам равные условия для внесения изменений в ключевые технологические сдвиги в государственном секторе, и эволюция этих сдвигов представляет собой разработку лучших практик, рожденных открытым исходным кодом, которые поддерживают всю жизнь программного обеспечения сегодня. Для меня большая честь помогать работе, которую OpenSSF ведет по исправлению крупных структурных ошибок, возникших в результате десятилетий пренебрежения».

• Кэмерон Бановски, соучредитель и CTØ, SHE BASH

Безопасность сокетов

«Как сопровождающие пакеты с открытым исходным кодом, которые устанавливаются более 1 миллиарда раз в месяц, команда Socket хорошо знакома с массовым ростом использования зависимостей с открытым исходным кодом. Современные приложения используют тысячи зависимостей, написанных сотнями сопровождающих, и установка даже одного пакета приводит к появлению десятков транзитивных зависимостей. К сожалению, злоумышленнику слишком легко проникнуть в цепочку поставок программного обеспечения и нанести ущерб. Вот почему Socket гордится тем, что присоединилась к OpenSSF и внесла свой вклад в обеспечение безопасности открытого исходного кода для всех благодаря нашему ведущему в отрасли подходу к анализу состава программного обеспечения, который используется тысячами компаний для обнаружения и предотвращения атак на цепочку поставок. Команда Socket рада работать с другими компаниями-членами OpenSSF, чтобы защитить экосистему с открытым исходным кодом для всех».

• Феросс Абухадидже, основатель и генеральный директор Socket Security

системная копия

Sysdig гордится тем, что является частью OpenSSF и работает вместе, чтобы помочь установить стандарты безопасности с открытым исходным кодом и защитить цепочку поставок программного обеспечения. Как компания, занимающаяся облачной безопасностью, основанная на открытом исходном коде, мы считаем, что отрасль должна объединиться, чтобы усилить программное обеспечение для общего блага. Создав Falco и предоставив его в CNCF для защиты среды выполнения, мы с нетерпением ждем продолжения открытого сотрудничества в OpenSSF. Будущее безопасности открыто, и то, что мы делаем сейчас, навсегда определит программное обеспечение».

• Эдд Уайлдер-Джеймс, вице-президент по экосистеме с открытым исходным кодом в Sysdig

Таймсис

«Поскольку количество нарушений в цепочке поставок программного обеспечения увеличилось более чем на 650%, обеспечение безопасности цепочки поставок программного обеспечения является приоритетной задачей. Уже более 5 лет мы разрабатываем технологии, помогающие защищать, отслеживать и поддерживать встраиваемые устройства Linux и Android с открытым исходным кодом от воздействия и уязвимостей. Мы очень рады присоединиться к усилиям сообщества с OpenSSF и снова стать частью Linux Foundation. Делясь технологиями и сотрудничая для создания экосистем, которые ускоряют разработку технологий с открытым исходным кодом, производители устройств и потребители во всем мире смогут спать спокойно, зная, что они в безопасности».

• Атул Бансал, генеральный директор Timesys

Корпорация ZTE

«Мы очень рады присоединиться к OpenSSF. Как ведущий мировой производитель коммуникационного оборудования, мы используем все больше и больше программного обеспечения с открытым исходным кодом. Активно внедряя программное обеспечение с открытым исходным кодом, оно также создает беспрецедентные риски для безопасности цепочки поставок программного обеспечения. Корпорация ZTE приложила много усилий для контроля и управления рисками и считает их своим главным приоритетом. После присоединения к OpenSSF корпорация ZTE работает с группой участников со схожими взглядами и целями, чтобы способствовать развитию цепочки поставок программного обеспечения с открытым исходным кодом в более безопасном направлении».

• Сян Шумин, директор по соблюдению требований и управлению безопасностью OSS, ZTE Corporation

Дополнительные ресурсы

• Вид полный список 89 членов OpenSSF
• Смотреть недавняя августовская ратуша OpenSSF
• Содействовать усилиям к одной или нескольким активным рабочим группам и проектам OpenSSF

О OpenSSF

Open Source Security Foundation (OpenSSF) — это межотраслевая организация, организованная Linux Foundation, которая объединяет наиболее важные отраслевые инициативы в области безопасности с открытым исходным кодом, а также отдельных лиц и компании, которые их поддерживают. OpenSSF стремится к сотрудничеству и работе как с вышестоящими, так и с существующими сообществами для повышения безопасности открытого исходного кода для всех. Для получения дополнительной информации, пожалуйста, посетите нас по адресу: openssf.org.

О Linux Foundation

Основанная в 2000 году, Linux Foundation и ее проекты поддерживаются более чем 2,950 членами. Linux Foundation является ведущим в мире центром совместной работы над программным обеспечением с открытым исходным кодом, оборудованием, стандартами и данными. Проекты Linux Foundation имеют решающее значение для мировой инфраструктуры, включая Linux, Kubernetes, Node.js, ONAP, Hyperledger, RISC-V и другие. Методология Linux Foundation направлена ​​на использование передового опыта и удовлетворение потребностей участников, пользователей и поставщиков решений для создания устойчивых моделей открытого сотрудничества. Для получения дополнительной информации, пожалуйста, посетите нас по адресу linuxfoundation.org.