La Fundación Linux recibirá una financiación de $10 millones de la OpenSSF para la mejora de la seguridad del open source
Hace poco la Fundación Linux dio a conocer mediante una publicación de blog el compromiso por parte de la OpenSSF (Open Source Security Foundation) de financiar a la Fundación Linux con $10 millones de dólares, esto como parte de un esfuerzo para mejorar la seguridad del software de código abierto.
Se mencionan que los fondos recaudados son a través de regalías de empresas matrices de OpenSSF, incluidas Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, Google, IBM, Intel, JPMorgan Chase, Microsoft, Morgan Stanley, Oracle, Red Hat, Snyk y VMware.
«Este compromiso de toda la industria responde al llamado de la Casa Blanca para elevar la línea de base para nuestro bienestar colectivo de ciberseguridad, así como ‘pagar hacia adelante’ a las comunidades de código abierto para ayudarlas a crear software seguro del que todos nos beneficiamos», dijo Jim Zemlin, director ejecutivo de la Fundación Linux. “Nos complace contar con el liderazgo y la amplia experiencia de Brian Behlendorf en la construcción y el mantenimiento de grandes comunidades y proyectos técnicos aplicados a este trabajo. Con el tremendo crecimiento y la omnipresencia del software de código abierto, la creación de prácticas y programas de ciberseguridad que escalen es nuestra mayor tarea «.
Esta financiación es parte de una colaboración entre industrias que reúne múltiples iniciativas de software de código abierto bajo un mismo propósito para identificar y corregir vulnerabilidades de ciberseguridad en software de código abierto y desarrollar herramientas mejoradas, capacitación, investigación, mejores prácticas y prácticas de divulgación de vulnerabilidades.
Como recordatorio, el trabajo de OpenSSF se centra en áreas tales como divulgación coordinada de vulnerabilidades, distribución de parches, desarrollo de herramientas de seguridad, publicación de mejores prácticas para la organización de desarrollo seguro, identificación de amenazas relacionadas con la seguridad en software de código abierto, auditoría y Fortalecimiento del trabajo, proyectos de código abierto de misión crítica, creación de herramientas para verificar la identidad de los desarrolladores.
- Security Scorecard: una herramienta totalmente automatizada que evalúa una serie de heurísticas importantes («comprobaciones») asociadas con la seguridad del software.
- Best Practices Badge: un conjunto de mejores prácticas de la Iniciativa de infraestructura central para producir software seguro de mayor calidad que proporciona una forma para que los proyectos de OSS demuestren a través de insignias que los están siguiendo.
- Security Policies: Allstar proporciona un conjunto y hace cumplir las políticas de seguridad en los repositorios u organizaciones.
- Framework: los niveles de la cadena de suministro para artefactos de software (SLSA) ofrecen un marco de seguridad para aumentar los niveles de integridad de la cadena de suministro de software.
- Capacitación: cursos gratuitos sobre fundamentos de desarrollo de software seguro que educan a los miembros de la comunidad sobre cómo desarrollar software seguro
- Divulgaciones de vulnerabilidades: una guía para la divulgación coordinada de vulnerabilidades para proyectos de OSS
- Análisis de paquetes: busqueda de software malicioso en paquetes OSS
- Revisiones de seguridad: recopilación pública de revisiones de seguridad de OSS
- Investigación: estudios sobre software de código abierto y vulnerabilidades de seguridad críticas realizados en asociación con el Laboratorio de Ciencias de la Innovación de Harvard (LISH) (por ejemplo, un censo preliminar y una Encuesta de Colaboradores de FOSS )
La OpenSSF continúa basándose en iniciativas como la Iniciativa de Infraestructura Central y la Coalición de Seguridad de Código Abierto y reúne otros trabajos relacionados con la seguridad que están realizando las empresas que se han unido al proyecto.
«Nunca ha habido un momento más emocionante para trabajar en la comunidad de código abierto, y la seguridad de la cadena de suministro de software nunca ha necesitado más de nuestra atención», dijo Brian Behlendorf, director general de Open Source Security Foundation. “No existe una fórmula mágica para asegurar las cadenas de suministro de software. La investigación, la capacitación, las mejores prácticas, las herramientas y la colaboración requieren el poder colectivo de miles de mentes críticas en toda nuestra comunidad. La financiación de OpenSSF nos brinda el foro y los recursos para realizar este trabajo «.
Finalmente si estás interesado en conocer más al respecto, puedes consultar la publicación original en el siguiente enlace.