Recentemente a Linux Foundation anunciou a formação da Open Source Security Foundation (Open SSF), uma nova organização que é o resultado de uma parceria entre diversos players para melhorar a segurança dos softwares de código aberto. Essa união tem o objetivo de criar uma comunidade mais ampla com iniciativas direcionadas à melhorias na proteção de dados e informações, assim como aumentar o uso das melhores práticas de segurança para OSS.
Esse projeto tem participação de grandes corporações multinacionais, com seu conselho administrativo composto por membros das empresas: GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, OWASP Foundation e Red Hat, entre outros. Outros membros fundadores incluem ElevenPaths, GitLab, HackerOne, Intel, Okta, Purdue, SAFECode, StackHawk, Trail of Bits, Uber e VMware.
O software de código aberto está presente em data centers de grandes corporações, dispositivos de consumo e serviços em nuvem, incorporando valor às soluções de diversos tipos desenvolvidas para o uso por muitos consumidores e empresas.
O OpenSSF reúne as iniciativas de segurança de código aberto mais importantes da indústria, e das empresas que as apoiam. A Iniciativa de Infraestrutura Básica da Linux Foundation (CII), fundada em resposta ao bug Heartbleed de 2014, e a Open Source Security Coalition, fundada pelo GitHub Security Lab, são apenas alguns dos projetos que estão sendo reunidos no novo OpenSSF. A governança da Fundação, a comunidade técnica e suas decisões serão transparentes e quaisquer especificações e projetos desenvolvidos serão independentes do fornecedor. O OpenSSF está comprometido com a colaboração e trabalho tanto upstream quanto com as comunidades existentes para promover a segurança de código aberto para todos.
“Acreditamos que o código aberto é um bem público e em todos os setores temos a responsabilidade de nos unir para melhorar e apoiar a segurança do software de código aberto do qual todos dependemos”, disse Jim Zemlin, diretor executivo da The Linux Foundation. “Garantir a segurança do código aberto é uma das coisas mais importantes que podemos fazer e requer que todos nós, ao redor do mundo, ajudemos nesse esforço. O OpenSSF proporcionará esse fórum para um esforço verdadeiramente colaborativo entre os setores ”.
Com a formalização do grupo, a estrutura de governança aberta foi estabelecida e inclui um Conselho Diretor (GB), um Conselho Consultivo Técnico (TAC) e uma supervisão separada para cada grupo de trabalho e projeto. O OpenSSF pretende hospedar uma variedade de iniciativas técnicas de código aberto para oferecer suporte à segurança do software de código aberto.
Considerações dos membros do Conselho de Administração
GitHub
“Cada setor está usando software de código aberto e é nossa responsabilidade coletiva ajudar a manter um ecossistema saudável e seguro”, disse Jamie Cool, vice-presidente de gerenciamento de produto e segurança do GitHub. “O GitHub fundou a Open Source Security Coalition em 2019 para reunir líderes da indústria em torno desta missão e garantir que o consumo de software de código aberto seja algo que todos os desenvolvedores possam fazer com confiança. Estamos ansiosos para esta próxima etapa na evolução da coalizão e servir como membro fundador da Open Source Security Foundation. ”
Google
“A segurança é sempre a prioridade do Google e de nossos usuários. Desenvolvemos ferramentas e sistemas de segurança internos robustos para consumir software de código aberto internamente, para nossos usuários e para nossos produtos baseados em OSS. Estamos ansiosos para compartilhar nossas inovações e trabalhar juntos para melhorar a segurança do software de código aberto do qual todos dependemos ”, disse James Higgins, Diretor de Segurança de Produtos do Google Cloud.
IBM
“O código-fonte aberto se tornou o mainstream na empresa. Como tal, a segurança da cadeia de suprimentos de código aberto é de suma importância para a IBM e nossos clientes ”, disse Christopher Ferris, IBM Fellow e CTO Open Technology. “O lançamento da Open Source Security Foundation marca um passo importante para dar às comunidades de código aberto as informações e ferramentas de que precisam para melhorar suas práticas de engenharia seguras e as informações de que os desenvolvedores precisam para escolher seu código aberto com sabedoria.”
Microsoft
“Como o código-fonte aberto é fundamental para a estratégia de tecnologia de quase todas as empresas, a proteção do software de código-fonte aberto é uma parte essencial da proteção da cadeia de suprimentos de cada empresa, incluindo a nossa própria”, disse Mark Russinovich, Diretor de Tecnologia da Microsoft Azure. “Como com tudo de código aberto, construir melhor segurança é um processo conduzido pela comunidade. Todos nós da Microsoft estamos entusiasmados por ser um membro fundador da Open Source Security Foundation e esperamos fazer parceria com a comunidade para criar novas soluções de segurança que ajudarão a todos nós. ”
Nós também trabalhamos para aumentar a segurança do open source através de nossa solução voltada para isto, conheça clicando aqui.