La Open Source Security Foundation (OpenSSF) è un’organizzazione intersettoriale ospitata presso la Linux Foundation, che riunisce le più importanti iniziative di sicurezza open source del mondo.
OpenSSF ha annunciato di recente che 20 nuove organizzazioni si sono unite alla Open Source Security Foundation.
I nuovi membri si sono associati per contribuire a identificare e risolvere le vulnerabilità di sicurezza nel software open source. Nonché sviluppare strumenti migliori, formazione, ricerca, best practice e iniziative di divulgazione riguardanti le vulnerabilità.
La Open Source Security Foundation ha anche condiviso le ultime pietre miliari raggiunte in una varietà di iniziative tecniche.
La Foundation ha sottolineato lo slancio intersettoriale che si sta verificando come risultato della crescente consapevolezza, sulla scia dei recenti incidenti di sicurezza. E anche in seguito al recente Open Source Security Summit della Casa Bianca e le audizioni del Congresso degli Stati Uniti.
In primo luogo, i nuovi Premier Member sono: 1Password, Citi, Coinbase, Huawei Technologies, JFrog e Wipro.
Nuovi General Member sono: Accuknox, Alibaba Cloud, Block, Blockchain Technology Partners, Catena Cyber, Chainguard, Cloudsmith, DeployHub, MongoDB, NCC Group, ReversingLabs, Spotify, Teleport e Wingtecher Technology.
Tra i nuovi Associate Member ci sono: MITRE e OpenUK.
OpenSSF ha recentemente annunciato anche il progetto Alpha-Omega, per migliorare la postura di sicurezza del software open source attraverso l’impegno diretto di esperti di software security e test di sicurezza automatizzati.
Il progetto è inizialmente sostenuto da Microsoft e Google con un investimento combinato di 5 milioni di dollari.
Scorecards è un altro progetto OpenSSF per la sicurezza, che aiuta gli utenti open source a capire i rischi delle dipendenze che utilizzano.
I membri di OpenSSF GitHub e Google hanno recentemente annunciato Scorecards v4, che include Scorecards GitHub Workflow Action per automatizzare l’identificazione di come le modifiche a un progetto influenzano la sua sicurezza.
Sigstore, progetto per i manutentori di open source avviato per migliorare la tecnologia di supply chain, ha anch’esso recentemente rilasciato un update, che riporta quasi 500 collaboratori, 3.000 commit e oltre un milione di voci in Rekor.
Inoltre, per incoraggiare una più ampia adozione dell’autenticazione a più fattori (MFA) da parte degli sviluppatori di progetti open source critici, il Securing Critical Projects Working Group ha coordinato la distribuzione di quasi 1000 codici per token MFA gratuiti.
Questi sono stati donati da Google e Github agli sviluppatori dei 100 progetti open source più critici. Questa distribuzione – ha sottolineato OpenSSF – è un piccolo ma critico passo per evitare attacchi alla catena di approvvigionamento basati su credenziali rubate di sviluppatori chiave.
