SAN FRANCISCO, ngày 17 tháng 2022 năm XNUMX — Sản phẩm Quỹ bảo mật nguồn mở (OpenSSF), một tổ chức đa ngành được thành lập tại Linux Foundation, nơi tập hợp các sáng kiến bảo mật chuỗi cung ứng phần mềm quan trọng nhất thế giới, hôm thứ Tư đã công bố 13 thành viên mới từ các dịch vụ tài chính, công nghệ, việc làm, phát triển phần mềm, an ninh mạng, viễn thông hàng đầu và các lĩnh vực học thuật.
Thành viên hàng đầu mới, Capital One, tham gia Ban điều hành OpenSSF. Các cam kết chung mới của thành viên đến từ Akamai, Indeed, Kasten by Veeam, Scantist, SHE BASH, Socket Security, Sysdig, Timesys và ZTE Corporation. Các thành viên liên kết mới bao gồm Quỹ Eclipse, Đại học Purdue và Tập đoàn TODO. Brian Behlendorf, Tổng Giám đốc của OpenSSF cho biết: “Chúng tôi rất vui mừng được chào đón các thành viên mới đến với OpenSSF. “Khi các lỗ hổng bảo mật phần mềm nguồn mở tiếp tục thu hút sự chú ý của các chính phủ và doanh nghiệp trên toàn thế giới, sự quan tâm đến công việc của OpenSSF đã tăng lên nhanh chóng”.
Jamie Thomas, Chủ tịch Hội đồng OpenSSF và Giám đốc điều hành An ninh Doanh nghiệp của IBM cho biết: “Cộng đồng ngày càng tăng gồm các tổ chức, nhà phát triển, nhà nghiên cứu và chuyên gia bảo mật đang đầu tư thời gian và nguồn lực cần thiết để tăng cường bảo mật nguồn mở”. “Các thành viên mới của OpenSSF đang tham gia vào thời điểm cần hơn bao giờ hết sự hợp tác và đổi mới giữa các ngành để chủ động ứng phó với các mối đe dọa an ninh mạng lan rộng.”
Việc giải quyết các vấn đề mang tính hệ thống dẫn đến các lỗ hổng bảo mật lớn như sự cố Log4shell nhấn mạnh tính cấp bách và tầm quan trọng của công việc của OpenSSF. Một báo cáo gần đây của Ủy ban Đánh giá An toàn Mạng đã tuyên bố rằng Log4j đã trở thành một “lỗ hổng đặc hữu” sẽ bị khai thác trong nhiều năm tới và rằng kế hoạch huy động 10 điểm được OpenSSF giới thiệu vào đầu năm nay tại Hội nghị thượng đỉnh về bảo mật phần mềm nguồn mở II sẽ cải thiện khả năng phục hồi và bảo mật của phần mềm nguồn mở.
OpenSSF sẽ tổ chức các phiên họp cả ngày vào Thứ Ba, ngày 13 tháng XNUMX, lúc Ngày OpenSSF EU vào đêm trước của Hội nghị Thượng đỉnh Nguồn Mở Châu Âu (OSS EU) ở Dublin. Các nhà lãnh đạo Nhóm Làm việc và các thành viên cộng đồng sẽ tổ chức các phiên họp, hội thảo và các cuộc trò chuyện bên lề về công việc đang diễn ra để bảo đảm chuỗi cung ứng phần mềm và tương lai của bảo mật nguồn mở. Đăng Ký và tham dự miễn phí cho tất cả những người tham dự OSS EU.
Báo giá thành viên cao cấp
Capital One
“Ngày nay, một số trải nghiệm kỹ thuật số mang tính đột phá nhất được tạo ra cho khách hàng đều dựa trên phần mềm nguồn mở. Là một công ty áp dụng rộng rãi công nghệ này, Capital One vô cùng tự hào được tham gia OpenSSF và các công ty công nghệ hàng đầu thế giới khi chúng tôi cộng tác để củng cố chuỗi cung ứng bảo mật phần mềm. Là một công ty được quản lý chặt chẽ, chúng tôi có kinh nghiệm trong việc quản lý việc tuân thủ và quản trị cũng như ủng hộ việc tiêu chuẩn hóa, tự động hóa và cộng tác. Chúng tôi mong muốn được làm việc cùng nhau để xác định các giải pháp thúc đẩy sứ mệnh OpenOSSF và mang lại lợi ích cho cộng đồng nguồn mở.”
- Chris Nims, EVP của Cloud & Productivity Engineering tại Capital One
Báo giá thành viên chung
Akamai
“Cải thiện tính bảo mật của phần mềm nguồn mở - vốn là trung tâm của hệ sinh thái internet - là một trong những thách thức bảo mật quan trọng nhất mà chúng ta phải đối mặt ngày nay. Chỉ bằng cách đạt được khả năng hiển thị trong mạng và chuỗi cung ứng phần mềm, chúng tôi mới có thể giải quyết các lỗi bảo mật một cách đáng tin cậy khi chúng xảy ra ở cấp mã. Cộng đồng công nghệ phải hỗ trợ các cộng đồng nguồn mở mà chúng tôi phụ thuộc vào bằng các nguồn lực tài chính và công nghệ để hạn chế rủi ro chung của chúng tôi. Với tư cách là nhà cung cấp dịch vụ đám mây và bảo mật hàng đầu, chúng tôi mong muốn được đóng góp cho Tổ chức Bảo mật Nguồn Mở và giúp thúc đẩy công việc quan trọng này.”
- Robert Blumofe, EVP và CTO, Akamai
Kasten của Veeam
“Chúng tôi rất vinh dự được trở thành một phần của Tổ chức An ninh Nguồn Mở (OpenSSF) và đấu tranh cho sáng kiến này cùng với các đồng nghiệp của chúng tôi. Kasten by Veeam có di sản nguồn mở và với tính năng bảo vệ dữ liệu Kubernetes là dịch vụ cốt lõi của chúng tôi, bảo mật vẫn là nền tảng quan trọng cho việc thiết kế và triển khai Kasten K10. Khi việc áp dụng Kubernetes tiếp tục thúc đẩy hành trình Chuyển đổi kỹ thuật số cho các doanh nghiệp, thì vấn đề bảo mật cần được chú ý nhiều hơn, đặc biệt là với sự gia tăng không thể tránh khỏi của các cuộc tấn công ransomware. Kasten by Veeam cam kết đảm bảo tính bảo mật và bảo vệ dữ liệu của môi trường gốc đám mây để bảo vệ các ứng dụng kinh doanh tốt hơn.”
- Gaurav Rishi, Phó chủ tịch sản phẩm và quan hệ đối tác tại Kasten by Veeam
người theo chủ nghĩa Scantist
“Một mặt, ngành công nghiệp phần mềm đang được hưởng lợi đáng kể từ sự tăng trưởng nhanh chóng của nguồn mở, vốn đã trở thành nền tảng cơ bản của thế giới kỹ thuật số. Mặt khác, bảo mật nguồn mở đang trở nên quan trọng hơn và tất cả những rủi ro này được nhân lên bởi bản chất phụ thuộc lẫn nhau của nguồn mở. Bây giờ với tư cách là thành viên của OpenSSF, chúng tôi muốn đóng góp cho các sứ mệnh của OpenSSF dựa trên nghiên cứu gần đây của chúng tôi về phân tích hệ sinh thái nguồn mở nhằm cung cấp cái nhìn định lượng nhằm hiểu được sự phức tạp và bảo mật của nguồn mở. Chúng tôi muốn trở thành người tham gia tích cực, nhà truyền giáo và đại sứ cho việc quản lý OSS ở Đông Nam Á để thúc đẩy an ninh chuỗi cung ứng phần mềm nguồn mở.”
- Tiến sĩ Liu Yang,Giáo sư tại Đại học Công nghệ Nanyang, Singapore và Đồng sáng lập Scantist
BÚP BÊ
“Kể từ khi thành lập, SHE BASH đã chứng kiến nhiều hoạt động công nghiệp mang tính chất săn mồi được bảo vệ khỏi sự giám sát chặt chẽ thông qua bức màn bảo vệ nguồn đóng. Về cốt lõi của chúng tôi, phần mềm nguồn mở là một tổ chức công cho phép mọi người xây dựng tương lai của mình.
“Sự kết hợp của sự thờ ơ trong nhiều thập kỷ và các cơ chế khuyến khích duy trì văn hóa 'không quan tâm' đã cho phép công ty của chúng tôi nổi bật trong số các công ty công nghệ lớn nhất và đáng trách nhất. Chúng tôi luôn coi 'phương pháp tốt nhất là ưu tiên hàng đầu' là một trong những đề xuất giá trị chính mà chúng tôi có thể cung cấp với tư cách là một công ty, mặc dù là một đề xuất nhỏ. Phần mềm nguồn mở đã cung cấp cho chúng tôi sân chơi bình đẳng để tạo ra sự khác biệt trong những thay đổi công nghệ quan trọng trong khu vực công và sự phát triển của những thay đổi này là sự phát triển của các thực tiễn tốt nhất được sinh ra từ nguồn mở duy trì toàn bộ đời sống phần mềm ngày nay. Thật vinh dự khi được hỗ trợ công việc mà OpenSSF đang dẫn đến việc khắc phục những sai lầm lớn về cấu trúc phát sinh sau nhiều thập kỷ bị lãng quên.”
- Cameron Banowsky, Đồng sáng lập và CTØ, SHE BASH
Bảo mật ổ cắm
“Là người duy trì các gói nguồn mở được cài đặt hơn 1 tỷ lần mỗi tháng, nhóm Socket rất quen thuộc với sự tăng trưởng mạnh mẽ trong việc sử dụng phần phụ thuộc nguồn mở. Các ứng dụng hiện đại sử dụng hàng nghìn phần phụ thuộc được viết bởi hàng trăm người bảo trì và việc cài đặt ngay cả một gói cũng dẫn đến hàng tá phần phụ thuộc bắc cầu xuất hiện trong quá trình sử dụng. Thật không may, kẻ xấu có thể dễ dàng xâm nhập vào chuỗi cung ứng phần mềm và tàn phá. Đó là lý do tại sao Socket tự hào tham gia OpenSSF và góp phần làm cho nguồn mở trở nên an toàn cho mọi người bằng cách tiếp cận dẫn đầu ngành của chúng tôi đối với phân tích thành phần phần mềm, được hàng nghìn công ty sử dụng để phát hiện và ngăn chặn các cuộc tấn công chuỗi cung ứng. Nhóm Socket rất vui mừng được hợp tác với các công ty thành viên OpenSSF khác để bảo vệ hệ sinh thái nguồn mở cho mọi người.”
- Feross Aboukhadijeh, Người sáng lập và Giám đốc điều hành, Socket Security
hệ thống
Sysdig tự hào là một phần của OpenSSF và cùng nhau hợp tác để giúp hướng dẫn các tiêu chuẩn bảo mật nguồn mở và bảo mật chuỗi cung ứng phần mềm. Là một công ty bảo mật đám mây được xây dựng trên nguồn mở, chúng tôi tin rằng ngành phải cùng nhau củng cố phần mềm vì lợi ích chung. Sau khi tạo và đóng góp Falco cho CNCF để giúp bảo đảm thời gian chạy, chúng tôi mong muốn tiếp tục cộng tác mở trong OpenSSF. Tương lai của bảo mật đang rộng mở và những gì chúng tôi làm bây giờ sẽ định hình phần mềm mãi mãi.”
- Edd Wilder-James, Phó chủ tịch, Hệ sinh thái mã nguồn mở tại Sysdig
Timesys
“Với tỷ lệ vi phạm chuỗi cung ứng phần mềm lên tới hơn 650%, việc đảm bảo chuỗi cung ứng phần mềm là một trọng tâm lớn. Chúng tôi đã làm việc hơn 5 năm để phát triển công nghệ giúp bảo mật, giám sát và duy trì các thiết bị Android và Linux nhúng dựa trên nguồn mở khỏi các nguy cơ và lỗ hổng bảo mật. Chúng tôi rất vui mừng được tham gia vào nỗ lực cộng đồng này với OpenSSF và lại trở thành một phần của Linux Foundation. Bằng cách chia sẻ công nghệ và cộng tác để xây dựng hệ sinh thái giúp đẩy nhanh quá trình phát triển công nghệ nguồn mở, các nhà sản xuất thiết bị và người tiêu dùng ở khắp mọi nơi sẽ có thể yên tâm hơn khi biết rằng họ được an toàn.”
- Atul Bansal, Giám đốc điều hành của Timesys
Tổng công ty ZTE
“Chúng tôi rất vui mừng được tham gia OpenSSF. Là nhà sản xuất thiết bị truyền thông hàng đầu thế giới, chúng tôi ngày càng sử dụng nhiều phần mềm nguồn mở. Trong khi tích cực đón nhận phần mềm nguồn mở, nó cũng mang đến những rủi ro chưa từng có đối với an ninh chuỗi cung ứng phần mềm. Tập đoàn ZTE đã có nhiều nỗ lực trong việc kiểm soát, quản lý rủi ro và coi chúng là ưu tiên hàng đầu. Sau khi gia nhập OpenSSF, ZTE Corporation làm việc với một nhóm thành viên có tầm nhìn và mục tiêu tương tự nhằm thúc đẩy sự phát triển chuỗi cung ứng phần mềm nguồn mở theo hướng an toàn hơn”.
- Xiang Shuming, Giám đốc Quản lý An ninh và Tuân thủ OSS, Tập đoàn ZTE
Tài Nguyên Bổ Sung
- Xem danh sách đầy đủ của 89 thành viên OpenSSF
- Đồng hồ đeo tay Tòa thị chính OpenSSF tháng XNUMX gần đây
- đóng góp công sức tới một hoặc nhiều nhóm làm việc và dự án OpenSSF đang hoạt động
Giới thiệu về OpenSSF
Tổ chức Bảo mật Nguồn Mở (OpenSSF) là một tổ chức đa ngành do Linux Foundation tổ chức, tập hợp các sáng kiến bảo mật nguồn mở quan trọng nhất của ngành cũng như các cá nhân và công ty hỗ trợ chúng. OpenSSF cam kết cộng tác và làm việc cả ở thượng nguồn và với các cộng đồng hiện có để nâng cao bảo mật nguồn mở cho tất cả mọi người. Để biết thêm thông tin, vui lòng ghé thăm chúng tôi tại: opensf.org.
Giới thiệu về Quỹ Linux
Được thành lập vào năm 2000, Quỹ Linux và các dự án của nó được hỗ trợ bởi hơn 2,950 thành viên. Linux Foundation là tổ chức cộng tác hàng đầu thế giới về phần mềm, phần cứng, tiêu chuẩn và dữ liệu nguồn mở. Các dự án Linux Foundation rất quan trọng đối với cơ sở hạ tầng của thế giới bao gồm Linux, Kubernetes, Node.js, ONAP, Hyperledger, RISC-V, v.v. Phương pháp luận của Quỹ Linux tập trung vào việc tận dụng các thực tiễn tốt nhất và giải quyết nhu cầu của những người đóng góp, người dùng và nhà cung cấp giải pháp để tạo ra các mô hình bền vững cho cộng tác mở. Để biết thêm thông tin, vui lòng ghé thăm chúng tôi tại linuxfoundation.org.
