САН-ФРАНЦИСКО, 17 серпня 2022 р. — Команда Open Source Security Foundation (OpenSSF), міжгалузева організація Linux Foundation, яка об’єднує найважливіші світові ініціативи з безпеки ланцюга поставок програмного забезпечення, у середу оголосила про 13 нових членів із провідних сфер фінансових послуг, технологій, зайнятості, розробки програмного забезпечення, кібербезпеки, телекомунікацій та академічні сектори.
Новий головний член, Capital One, приєднується до керівної ради OpenSSF. Нові загальні зобов’язання для учасників походять від Akamai, Indeed, Kasten by Veeam, Scantist, SHE BASH, Socket Security, Sysdig, Timesys і ZTE Corporation. Серед нових асоційованих членів — Eclipse Foundation, Purdue University і TODO Group. «Ми раді вітати нових членів OpenSSF, — говорить Браян Белендорф, генеральний менеджер OpenSSF. «Оскільки вразливості програмного забезпечення з відкритим кодом продовжують привертати увагу урядів і компаній у всьому світі, інтерес до роботи OpenSSF стрімко зростає».
«Зростаюча спільнота організацій, розробників, дослідників і спеціалістів із безпеки інвестує час і ресурси, необхідні для посилення безпеки з відкритим вихідним кодом», — сказав Джеймі Томас, голова правління OpenSSF і керівник IBM Enterprise Security. «Нові члени OpenSSF приєднуються в той час, коли міжгалузева співпраця та інновації потрібні як ніколи для проактивного реагування на поширені загрози кібербезпеці».
Вирішення системних проблем, які призвели до серйозних вразливостей безпеки, таких як інцидент Log4shell, підкреслює терміновість і важливість роботи OpenSSF. У нещодавньому звіті Комітету з питань кібербезпеки зазначено, що Log4j став «ендемічною вразливістю», яку використовуватимуть протягом багатьох років, і що Мобілізаційний план із 10 пунктів Представлений на початку цього року на II саміті з безпеки програмного забезпечення з відкритим кодом OpenSSF покращить стійкість і безпеку програмного забезпечення з відкритим кодом.
OpenSSF проведе повний день сеансів у вівторок, 13 вересня, о День OpenSSF ЄС напередодні Open Source Summit Europe (OSS EU) у Дубліні. Лідери робочих груп і члени спільноти організовуватимуть сесії, панелі та чати біля каміна про поточну роботу щодо захисту ланцюжка постачання програмного забезпечення та майбутнього безпеки з відкритим кодом. Реєстрація і відвідування безкоштовне для всіх, хто відвідує OSS EU.
Цитата провідного члена
Capital One
«Сьогодні деякі з найбільш революційних цифрових технологій, створених для клієнтів, базуються на програмному забезпеченні з відкритим кодом. Як компанія, яка широко використовує цю технологію, Capital One неймовірно пишається тим, що приєдналася до OpenSSF і світових технологічних лідерів, оскільки ми співпрацюємо для зміцнення ланцюга постачання програмного забезпечення безпеки. Як жорстко регульована компанія, ми маємо досвід управління відповідністю та управлінням і виступаємо за стандартизацію, автоматизацію та співпрацю. Ми з нетерпінням чекаємо на спільну роботу, щоб знайти рішення, які просуватимуть місію OpenOSSF і допомагатимуть спільноті з відкритим кодом».
- Кріс Німс, виконавчий віце-президент з розробки хмарних технологій і продуктивності в Capital One
Загальні цитати учасників
Akamai
«Підвищення безпеки програмного забезпечення з відкритим вихідним кодом — такого центрального в екосистемі Інтернету — є однією з найважливіших проблем безпеки, з якими ми стикаємося сьогодні. Лише отримавши доступ до мережі та ланцюга постачання програмного забезпечення, ми зможемо надійно усунути недоліки безпеки, коли вони виникають на рівні коду. Технологічна спільнота повинна підтримувати спільноти з відкритим кодом, від яких ми залежимо, фінансовими та технологічними ресурсами, щоб обмежити наш колективний ризик. Як провідний постачальник послуг безпеки та хмарних послуг, ми з нетерпінням чекаємо на можливість зробити внесок у Open Source Security Foundation і допомогти просувати цю важливу роботу».
- Роберт Блумофе, виконавчий віце-президент і технічний директор Akamai
Kasten від Veeam
«Для нас велика честь бути частиною Open Source Security Foundation (OpenSSF) і підтримувати цю ініціативу разом із нашими колегами. Kasten від Veeam має спадщину з відкритим кодом, і завдяки захисту даних Kubernetes як нашій основній пропозиції, безпека залишається критично важливою основою для розробки та реалізації Kasten K10. Оскільки впровадження Kubernetes продовжує сприяти цифровій трансформації для підприємств, більше уваги справедливо приділяється безпеці, особливо в умовах невблаганного зростання атак програм-вимагачів. Kasten від Veeam прагне забезпечити безпеку та захист даних у рідних хмарних середовищах для кращого захисту бізнес-додатків».
- Гаурав Ріші, віце-президент із продуктів і партнерства Kasten by Veeam
скантист
«З одного боку, індустрія програмного забезпечення отримує значну користь від швидкого зростання відкритого коду, який став основним будівельним блоком цифрового світу. З іншого боку, безпека з відкритим кодом стає все більш критичною, і всі ці ризики помножуються на взаємозалежний характер відкритого коду. Тепер, як член OpenSSF, ми хотіли б зробити внесок у місії OpenSSF на основі нашого нещодавнього дослідження аналізу екосистеми з відкритим кодом, щоб забезпечити кількісне уявлення, щоб зрозуміти складність і безпеку відкритого коду. Ми хочемо стати активним учасником, проповідником і послом управління OSS у Південно-Східній Азії, щоб сприяти безпеці ланцюга постачання програмного забезпечення з відкритим кодом».
- Доктор Лю Янг, професор Технологічного університету Наньян, Сінгапур та співзасновник Scantist
ВОНА БАШ
«З моменту заснування SHE BASH була свідком різноманітних хижацьких галузевих практик, які захищені від ретельного контролю через захисну завісу закритого коду. По суті, програмне забезпечення з відкритим кодом є державною установою, яка дозволяє кожному будувати своє майбутнє.
«Поєднання десятиліть апатії та механізмів стимулювання, які підтримують культуру «байдуже», дозволило нашій компанії виділитися серед найбільших і найвинніших компаній у сфері технологій. Ми завжди вважали «найкращі практики перш за все» однією з головних пропозицій цінності, яку ми можемо надати як компанія, хоча й невелика. Програмне забезпечення з відкритим вихідним кодом забезпечило нам рівні умови для внесення змін у ключові технологічні зрушення в державному секторі, і еволюція цих зрушень є розвитком найкращих практик, народжених з відкритим кодом, який підтримує все життя програмного забезпечення сьогодні. Для мене справжня честь допомагати у роботі, яку OpenSSF веде для виправлення великих структурних помилок, які виникли через десятиліття нехтування».
- Камерон Бановскі, співзасновник і CTØ, SHE BASH
Безпека розеток
«Як супроводжувачі пакетів з відкритим кодом, які встановлюються понад 1 мільярд разів на місяць, команда Socket добре знайома з величезним зростанням використання залежностей з відкритим кодом. Сучасні програми використовують тисячі залежностей, написаних сотнями супроводжувачів, і встановлення навіть одного пакета призводить до появи десятків транзитивних залежностей. На жаль, поганому гравцеві дуже легко проникнути в ланцюжок постачання програмного забезпечення та сіяти хаос. Ось чому Socket пишається тим, що приєднується до OpenSSF і робить свій внесок у забезпечення безпеки відкритого коду для всіх за допомогою нашого провідного в галузі підходу до аналізу складу програмного забезпечення, який використовують тисячі компаній для виявлення та запобігання атакам на ланцюги поставок. Команда Socket рада працювати з іншими компаніями-учасниками OpenSSF, щоб захистити екосистему з відкритим кодом для всіх».
- Ферос Абухадієх, засновник і генеральний директор Socket Security
sysdig
Sysdig пишається тим, що є частиною OpenSSF і працює разом, щоб допомогти керувати стандартами безпеки з відкритим кодом і захистити ланцюг постачання програмного забезпечення. Як компанія, що займається хмарною безпекою, заснована на відкритому коді, ми вважаємо, що галузь має об’єднатися, щоб покращити програмне забезпечення для загального блага. Створивши Falco і вклавши його в CNCF для забезпечення безпеки виконання, ми з нетерпінням чекаємо на продовження відкритої співпраці в OpenSSF. Майбутнє безпеки відкрито, і те, що ми робимо зараз, назавжди сформує програмне забезпечення».
- Едд Уайлдер-Джеймс, віце-президент екосистеми з відкритим вихідним кодом у Sysdig
Timesys
«З огляду на те, що кількість порушень у ланцюзі поставок програмного забезпечення становить понад 650%, безпека ланцюжка поставок програмного забезпечення є великою увагою. Ми більше 5 років працюємо над розробкою технології, щоб допомогти захистити, контролювати та підтримувати вбудовані пристрої Linux і Android із відкритим кодом від ризиків і вразливостей. Ми дуже раді приєднатися до цієї спільноти з OpenSSF і знову стати частиною Linux Foundation. Завдяки обміну технологіями та співпраці для створення екосистем, які прискорюють розвиток технологій з відкритим вихідним кодом, виробники пристроїв і споживачі в усьому світі зможуть спокійніше відпочивати, знаючи, що вони в безпеці».
- Атул Бансал, генеральний директор Timesys
Корпорація ZTE
«Ми дуже раді приєднатися до OpenSSF. Як провідний світовий виробник комунікаційного обладнання, ми використовуємо все більше програмного забезпечення з відкритим кодом. Хоча активно використовує програмне забезпечення з відкритим кодом, воно також створює безпрецедентні ризики для безпеки ланцюга поставок програмного забезпечення. Корпорація ZTE докладає багато зусиль для контролю та управління ризиками та вважає їх нашим головним пріоритетом. Після приєднання до OpenSSF корпорація ZTE працює з групою членів зі схожими баченнями та цілями, щоб сприяти розвитку ланцюжка поставок програмного забезпечення з відкритим кодом у більш безпечному напрямку».
- Xiang Shuming, директор OSS Compliance and Security Governance, ZTE Corporation
Додаткові ресурси
- вид повний список 89 членів OpenSSF
- годинник нещодавня ратуша OpenSSF у серпні
- Сприяти зусиллям до однієї чи кількох активних робочих груп і проектів OpenSSF
Про OpenSSF
Open Source Security Foundation (OpenSSF) — це міжгалузева організація під керівництвом Linux Foundation, яка об’єднує найважливіші ініціативи галузі безпеки з відкритим кодом, а також осіб і компанії, які їх підтримують. OpenSSF налаштований на співпрацю та співпрацю як на початковому етапі, так і з існуючими спільнотами для просування безпеки з відкритим кодом для всіх. Для отримання додаткової інформації відвідайте нас за адресою: openssf.org.
Про Linux Foundation
Заснована у 2000 році, Linux Foundation та її проекти підтримують понад 2,950 членів. Linux Foundation є провідною світовою організацією для співпраці над програмним забезпеченням, обладнанням, стандартами та даними з відкритим кодом. Проекти Linux Foundation мають вирішальне значення для світової інфраструктури, включаючи Linux, Kubernetes, Node.js, ONAP, Hyperledger, RISC-V тощо. Методологія Linux Foundation зосереджена на використанні найкращих практик і задоволенні потреб учасників, користувачів і постачальників рішень для створення стійких моделей для відкритої співпраці. Для отримання додаткової інформації відвідайте нас за адресою linuxfoundation.org.
