OpenSSF: un proyecto enfocado en mejorar la seguridad del software de código abierto

La Fundación Linux acaba de anunciar la formación de un nuevo proyecto llamado «OpenSSF» (Open Source Security Foundation) el cual tiene como objetivo principal el reunir el trabajo de los líderes de la industria en el campo de la mejora de la seguridad del software de código abierto.

Con ello OpenSSF desarrollara iniciativas como la Infrastructure Initiative y Open Source Security Coalition (Iniciativa de Infraestructura Central y la Coalición de Seguridad de Código Abierto) y reunirá otros trabajos relacionados con la seguridad que están llevando a cabo las empresas que se han unido al proyecto.

Los miembros fundadores de OpenSSF incluyen GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, OWASP Foundation y Red Hat.

Mientras que por su parte GitLab, HackerOne, Intel, Uber, VMware, ElevenPaths, Okta, Purdue, SAFECode, StackHawk y Trail of Bits se unieron como participantes.

La OpenSSF es una colaboración entre industrias que reúne a líderes para mejorar la seguridad del software de código abierto mediante la creación de una comunidad más amplia, iniciativas específicas y mejores prácticas.

La razón de la creación de este proyecto nace a partir del estudio del mundo moderno en el que el software de código abierto tiene una gran demanda en muchas áreas de la industria, pero debido a los detalles del desarrollo, su seguridad está influenciada por cadenas de dependencias y participantes en el desarrollo.

OpenSSF es una colaboración entre industrias que reúne a líderes para mejorar la seguridad del software de código abierto (OSS) mediante la construcción de una comunidad más amplia con iniciativas específicas y mejores prácticas.

Por lo tanto, para confirmar la seguridad de los proyectos de código abierto, es importante verificar no solo el código principal, sino también las dependencias, así como la identificación de los desarrolladores cuyo código es aceptado en el proyecto y la autenticación confiable durante la revisión y el compromiso.

Además, la seguridad requiere el uso de sistemas de compilación seguros y verificación de compilación.

El software de código abierto se ha generalizado en los centros de datos, dispositivos de consumo y servicios, lo que representa su valor entre tecnólogos y empresas por igual.

Debido a su proceso de desarrollo, el código abierto que finalmente llega a los usuarios finales tiene una cadena de contribuyentes y dependencias. Es importante que los responsables de la seguridad de su usuario u organización puedan comprender y verificar la seguridad de esta cadena de dependencia.

El trabajo de OpenSSF se concentrará en áreas tales como la divulgación coordinada de información de vulnerabilidad y distribución de parches, el desarrollo de herramientas para la seguridad, la publicación de mejores prácticas para la organización de desarrollo segura, identificar amenazas relacionadas con la seguridad para el software de código abierto, realizar el trabajo de la Auditoría y aumentar la seguridad de las críticas proyectos de código abierto, creando herramientas para verificar la identidad de los desarrolladores.

Entre las amenazas causadas por la falta de identificación de los desarrolladores, se menciona la posibilidad de que un atacante obtenga derechos de mantenedor para realizar cambios maliciosos, duplicar cuentas para revisar su propio código, se menciona la participación de impostores haciéndose pasar por otras personas o reclamando trabajo para ciertas compañías.

«Creemos que el código abierto es un bien público y en todas las industrias tenemos la responsabilidad de unirnos para mejorar y respaldar la seguridad del software de código abierto del que todos dependemos», dijo Jim Zemlin, director ejecutivo de The Linux Foundation.

Finalmente si quieres conocer más al respecto, puedes consultar los detalles en la publicación original de la Linux Fundation en el siguiente enlace.

O también puedes visitar el sitio web de la OpenSSF en el siguiente enlace.


¿Quieres aprender a programar de manera profesional?

 

Te invitamos a formar parte de Azul School donde vas a tener acceso a cursos profesionales con certificado. Además tienes acceso a una red social de programadores donde puedes conocer gente de tu ciudad o país.

 

Si quieres acceder a todas las funciones te regalamos un descuento del 75% usando este cupón (no vas a encontrar este descuento en ningún otro lugar) Cupón: azulweb y lo puedes cambiar aquí: Haz clic aquí para cambiar el cupón del 75%.

 

También puedes probar la plataforma de forma gratuita y obtener un curso gratuito aquí: Haz clic aquí para probar la plataforma de forma gratuita.


Ernesto Mota

Ernesto Mota

Nací en el d.f., sigo siendo defeño, hoy radico en la hermosa ciudad de Cuernavaca, Morelos, soy Ing. en Sistemas computacionales, con un posgrado en Tecnologías de información, Doctorando en ambientes virtuales de aprendizaje y realidad aumentada, Tecnólogo es mi categoría laboral, y mi linea de investigación es la realidad aumentada aplicada a nuevos entornos de aprendizaje.

También te podría gustar...