Кто займется развитием безопасности открытого ПО — обсуждаем новые проекты и их будущее

в 21:03, , рубрики: 1cloud, Core Infrastructure Initiative, IT-стандарты, open source, Open Source Security Coalition, OpenSSF, Блог компании 1cloud.ru, информационная безопасность, Разработка под Linux

В августе Linux Foundation основали фонд OpenSSF. В него вошли — Core Infrastructure Initiative и Open Source Security Coalition. Их участники разработают инструментарий для поиска уязвимостей в коде и верификации программистов, участвующих в его написании. Рассказываем, что к чему.

Кто займется развитием безопасности открытого ПО — обсуждаем новые проекты и их будущее - 1
Фото — Andrew Sharp — Unsplash

В чем выгода для ИТ-индустрии

Меньше багов в открытом ПО. Главные усилия фонда пойдут на поддержку решений, сокращающих вероятность появления критических уязвимостей на уровне ИТ-инфраструктуры.

Примером может быть Heartbleed в OpenSSL, позволяющая несанкционированно читать память на сервере или на клиенте. В 2014 году уязвимыми оказались около 500 тыс. сайтов, и примерно 200 тыс. из них до сих пор не пропатчены.

Новые разработки в этой области должны способствовать более оперативной реакции на аналогичные проблемы. GitHub уже передали Open Source Security Coalition решение Security Lab — оно помогает участникам площадки быстрее доводить информацию о багах в коде до мейнтейнеров. Интерфейс GitHub позволяет получить CVE-идентификатор для обнаруженной проблемы и подготовить отчет.

Лучшие методологии разработки. Будет сформирована курируемая библиотека лучших практик, на содержимое которой может повлиять любой участник открытого сообщества. Для этих целей раз в две недели инженеры из крупных ИТ-компаний будут проводить онлайн-встречи и обсуждать технологии, фреймворки и особенности языков программирования.

Кто займется развитием безопасности открытого ПО — обсуждаем новые проекты и их будущее - 2
Фото — Walid Hamadeh — Unsplash

Прозрачный процесс отбора специалистов. В Core Infrastructure Initiative и Open Source Security Coalition планируют разработать новые механизмы проверки контрибьюторов. Об их специфике известно мало, но они помогут избежать повторения истории с библиотекой event-stream для Node.js, когда новый мейнтейнер внедрил в неё бэкдор для кражи криптовалюты.

Взгляд на перспективу

ИТ-сообщество положительно встретило новые инициативы. ИБ-специалист Microsoft Майкл Сковетта (Michael Scovetta) отметил, что с момента обнаружения уязвимости до появления первых эксплойтов проходит всего три дня. Он считает, что инструментарий, разрабатываемый в рамках проектов OpenSSF, позволит выпускать «заплатки» в сжатые сроки и сокращать риски.

Хотя один из резидентов Hacker News в тематическом треде высказал беспокойство, что специалисты начнут разработку новых ИБ-стандартов вместо того, чтобы развивать существующие. В результате вновь станет актуальной история, описанная в одном из комиксов XKCD.


Материалы по теме из нашего корпоративного блога:

Кто займется развитием безопасности открытого ПО — обсуждаем новые проекты и их будущее - 3 Какие есть открытые ОС для сетевого оборудования
Кто займется развитием безопасности открытого ПО — обсуждаем новые проекты и их будущее - 4 Как Европа переходит на открытое ПО для госучреждений
Кто займется развитием безопасности открытого ПО — обсуждаем новые проекты и их будущее - 5 Участие в open source проектах может быть выгодным для компаний — почему и что это дает
Кто займется развитием безопасности открытого ПО — обсуждаем новые проекты и их будущее - 6 Вся история Linux. Часть I: с чего все началось
Кто займется развитием безопасности открытого ПО — обсуждаем новые проекты и их будущее - 7 Вся история Linux. Часть II: корпоративные перипетии
Кто займется развитием безопасности открытого ПО — обсуждаем новые проекты и их будущее - 8 История Linux. Часть III: новые рынки и старые «враги»
Кто займется развитием безопасности открытого ПО — обсуждаем новые проекты и их будущее - 9 Бенчмарки для Linux-серверов


Автор: 1cloud

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js