Учреждён проект OpenSSF, сфокусированный на повышении безопасности открытого ПО

03.08.2020 23:01

Организация Linux Foundation объявила о формировании нового совместного проекта OpenSSF (Open Source Security Foundation), призванного объединить работу ведущих представителей индустрии в области повышения безопасности открытого ПО. OpenSSF продолжит развитие таких инициатив, как Core Infrastructure Initiative и Open Source Security Coalition, а также объединит и другие связанные с безопасностью работы, предпринимаемые присоединившимися к проекту компаниями.

В число учредителей OpenSSF вошли такие компании, как GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, OWASP Foundation и Red Hat. В качестве участников присоединились компании GitLab, HackerOne, Intel, Uber, VMware, ElevenPaths, Okta, Purdue, SAFECode, StackHawk и Trail of Bits.

Отмечается, что в современном мире открытое ПО широко востребовано во многих областях индустрии, но в силу специфики разработки на его безопасность оказывают влияние цепочки из зависимостей и участников разработки. Поэтому для подтверждения безопасности открытых проектов важна верификация не только основного кода, но и зависимостей, а также идентификация разработчиков, чей код принимается в состав проекта, и надёжная аутентификация при рецензировании и коммитах. Кроме того, для обеспечения безопасности требуется применение защищённых сборочных систем и верификации сборок.

Работа OpenSSF будет сосредоточена в таких областях, как скоординированное раскрытие информации об уязвимостях и распространение исправлений, разработка инструментов для обеспечении безопасности, публикация лучших практик по безопасной организации разработки, выявление связанных с безопасностью угроз в открытом ПО, проведение работы по аудиту и усилению безопасности критически важных открытых проектов, создание средств для проверки идентичности разработчиков.

Среди угроз, вызванных отсутствием идентификации разработчиков, упоминается возможность получения злоумышленником прав мэйнтейнера для внесения вредоносных изменений, дублирование учётных записей для рецензирования своего же кода, участие самозванцев, выдающих себя за других людей или заявляющих о работе на определённые компании. Например, к проблемам с идентификацией относится инцидент c зависимостью к библиотеке event-stream после передачи сопровождения непроверенному человеку, с которым старый сопровождающий общался только по email, или многочисленные случаи продажи браузерных дополнений и плагинов третьим лицам.

исправить +10 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/53482-openssf

Ключевые слова: openssf, security, opensource

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (70)

1.1, Укуренный (?), 23:47, 03/08/2020 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Уууу, теперь анонимам нельзя будет коммитить libc, а я так хотел туда майнер встроить.

2.3, Аноним (3), 00:06, 04/08/2020 [^] [^^] [^^^] [ответить]	+4 +/–
В libc и так нельзя было коммитить не только не анонимам, но еще и тем кто не готов отказываться полностью от авторских прав на код в пользу FSF https://www.gnu.org/licenses/why-assign.en.html

3.6, asdasd (?), 00:18, 04/08/2020 [^] [^^] [^^^] [ответить]	+5 +/–
Вы говорите не про libc, а про glibc.

3.12, anon2 (?), 01:32, 04/08/2020 [^] [^^] [^^^] [ответить]	+1 +/–
Враньё. FSF просит передачу ей только имущественных прав на код. Неимущественные авторские права остаются у автора. Например, право признаваться автором кода.

4.15, Анонимуз (?), 02:49, 04/08/2020 [^] [^^] [^^^] [ответить]	+6 +/–
Авторство неотчуждаемо.

5.20, Аноним (20), 06:36, 04/08/2020 [^] [^^] [^^^] [ответить]	–6 +/–
Только в рамках принятого западного права, и тем где оно распространяется.

6.22, ss (??), 08:01, 04/08/2020 [^] [^^] [^^^] [ответить]	+8 +/–
Причем тут "западного"? С СССР оно тоже было неотчуждаемым. Вы так тролите или просто западнофил?

6.98, Аноним (98), 17:55, 05/08/2020 [^] [^^] [^^^] [ответить]	+/–
Россияне эти законы тоже протолкали, в том же виде, копирасы очень уж лоббировали.

2.81, Аноним (81), 17:52, 04/08/2020 [^] [^^] [^^^] [ответить]	+/–
Это сладкое слово свобода.

1.2, Minona (ok), 23:48, 03/08/2020 [ответить] [﹢﹢﹢] [ · · · ]	+9 +/–
>создание средств для проверки идентичности разработчиков. Однако

2.4, Аноним (4), 00:15, 04/08/2020 [^] [^^] [^^^] [ответить]	+5 +/–
всех под колпак корпораций

3.8, пох. (?), 00:31, 04/08/2020 [^] [^^] [^^^] [ответить]	+4 +/–
да там пол-документа как раз и посвящено вопросу "а вдруг Вася все еще Вася, но уже НЕ работает на rbm?!"

3.65, Мастеррецензент из компании в колабасасе (?), 11:45, 04/08/2020 [^] [^^] [^^^] [ответить]	+/–
а кто сказал, что в спо можно впатчить чего угодно? "This has been going on for years, and doesn't seem to be getting any better." "I'm fcking tired of the fact that you don't fix problems in thecode you* write"

1.7, Аноним (7), 00:29, 04/08/2020 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Это зачем идентифицировать разработчиков? Типа если heartbleed, то чтобы прийти к нему с паяльником и спросить за всё? Тогда поговорка "пишите код так, как если бы его проверял помешанный маньяк-психопат, знающий ваш адрес" станет ближе к истине

2.9, пох. (?), 00:33, 04/08/2020 [^] [^^] [^^^] [ответить]	+2 +/–
Наоборот же - если там нет heartbleed - придти к нему с пакетиком с непонятным порошком и флэшкой с cp, и вежливо попросить добавить.

3.21, ss (??), 07:57, 04/08/2020 [^] [^^] [^^^] [ответить]	+/–
Это может произойти и с самим Линусом... Хоть обидентифицируйся, а если нашли чем заинтересовать - то все эти идентификации только на руку злоумышленнику.

4.48, пох. (?), 09:30, 04/08/2020 [^] [^^] [^^^] [ответить]

+/–

> Это может произойти и с самим Линусом...

это слишком публичная фигура - с ним этот фокус может внезапно дорого обойтись самим фокусникам.

А вот о большинстве остальных, указанных в credits - неизвестно ничего, кроме мэйла и того имени, которым они себя сами назвали. Теперь еще и фотки разворота паспорта, трудами циско и rbm. Остальные данные радостно продаст пейсбук, или их сопрут бесплатно у какого-нибудь твитера.

А там и чем "заинтересовать" найдется (не каждого, но и нужно-то небольшое количество). Вот у товарищмайора, к примеру, паяльник есть интересный - хошь поближе познакомиться?

5.62, ss (??), 10:14, 04/08/2020 [^] [^^] [^^^] [ответить]	+/–
>это слишком публичная фигура - с ним этот фокус может внезапно дорого обойтись самим фокусникам. Это будет разоблачение века :)

2.13, Аноним (13), 01:33, 04/08/2020 [^] [^^] [^^^] [ответить]	+/–
https://arstechnica.com/information-technology/2018/11/hacker-backdoors-widely Вот, например, анонимный помощник постарался

3.16, Аноним (16), 03:40, 04/08/2020 [^] [^^] [^^^] [ответить]	+/–
А идентификация спасёт от упущений при ревью?

4.19, Аноним (13), 06:24, 04/08/2020 [^] [^^] [^^^] [ответить]	+/–
Есть с кого спросить хотя бы. Т нельзя рассуждать как "мы просто не должны совершать ошибок".

5.24, ss (??), 08:04, 04/08/2020 [^] [^^] [^^^] [ответить]	+/–
Ну спросили и что?? "А он плюнет в глаза и скажет что видит его первый раз в жизни" (с) МВИН

5.77, Hdjzh (?), 15:47, 04/08/2020 [^] [^^] [^^^] [ответить]	+/–
Поиск виноватых ничем не лучше. Плюс хакеры, желающие насолить, могут или украсть личность, или сделать фейковую и с неё закоммитить

1.10, Аноним (-), 00:38, 04/08/2020 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
>создание средств для проверки идентичности разработчиков. Анонимус не забывает что стало в разрабом Adamantix.

2.27, Аноним (27), 08:07, 04/08/2020 [^] [^^] [^^^] [ответить]	+/–
А что случилось?

3.40, Сейд (ok), 08:42, 04/08/2020 [^] [^^] [^^^] [ответить]	+/–
Попала в тюрьму за вождение без прав.

4.51, Анорим (?), 09:50, 04/08/2020 [^] [^^] [^^^] [ответить]	+/–
Это где же вождение без "прав" - уголовка? В России - административка.

5.76, Аноним84701 (ok), 15:32, 04/08/2020 [^] [^^] [^^^] [ответить]	+1 +/–
За повторный DUI driving under influence Да много где https www french-... большой текст свёрнут, показать

2.64, Аноним (64), 11:19, 04/08/2020 [^] [^^] [^^^] [ответить]	+/–
Хотелось бы, чтоб не забывчивый анон напомнил забывчивому - что там случилось?

1.11, Аноним (11), 01:31, 04/08/2020 [ответить] [﹢﹢﹢] [ · · · ]

+/–

>Поэтому для подтверждения безопасности открытых проектов важна верификация не только основного кода, но и зависимостей

Что такое "верификация зависимостей"? Они ведь не формальную верификацию в виду имеют.

>а также идентификация разработчиков

Себя пусть идентифицируют.

2.14, Аноним (7), 02:37, 04/08/2020 [^] [^^] [^^^] [ответить]

+1 +/–

> Они ведь не формальную верификацию в виду имеют.

Жаль если нет (99% процентов что нет)

Но вообще мысль правильная в том смысле, что зависимости тоже надо шерстить. Да и вообще - всякая зависимость есть угроза, особенно если её разработка ведётся не тобой

1.17, б.б. (?), 04:00, 04/08/2020 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
25 лет назад учреждён проект OpenBSD, сфокусированный на повышении безопасности открытого ПО В число учредителей OpenBSD НЕ вошли такие компании, как GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, OWASP Foundation и Red Hat. В качестве участников НЕ присоединились компании GitLab, HackerOne, Intel, Uber, VMware, ElevenPaths, Okta, Purdue, SAFECode, StackHawk и Trail of Bits.

2.18, Аноним (7), 04:12, 04/08/2020 [^] [^^] [^^^] [ответить]	+/–
OpenBSD на самом деле появился тупо потому, что де Раадта выгнали из всех других мест. И уж только потом из-за безопасности

2.29, ss (??), 08:11, 04/08/2020 [^] [^^] [^^^] [ответить]

+1 +/–

Все что надо знать об "безопасности" OpenBSD:

"OpenBSD no longer uses the term "vulnerability" when referring to bugs that lead to a remote denial of service attack, as opposed to bugs that lead to remote control of vulnerable systems to avoid oversimplifying ("pablumfication") the use of the term. "

Главное правильно подобрать интерпретацию термина :)

3.32, б.б. (?), 08:14, 04/08/2020 [^] [^^] [^^^] [ответить]	+1 +/–
а о безопасности OpenSSF что нужно знать?

4.34, ss (??), 08:16, 04/08/2020 [^] [^^] [^^^] [ответить]	+2 +/–
Что вам теперь некуда бежать :)

1.25, Ананоним (?), 08:04, 04/08/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Я не понял, это "пчёлы против мёда" шоле? О как!

2.26, ss (??), 08:05, 04/08/2020 [^] [^^] [^^^] [ответить]	+1 +/–
Как раз безопасность для корпораций -это мед за который все эти пчелы очень ратуют...

3.28, Аноним (28), 08:10, 04/08/2020 [^] [^^] [^^^] [ответить]	+/–
На этом можно неплохо обогатиться ничего не делая:)

4.31, ss (??), 08:14, 04/08/2020 [^] [^^] [^^^] [ответить]	+1 +/–
Неплохо обогатиться ничего не делая можно более простыми способами. А они делают и весьма много. Правда порой весьма спорные вещи. "Мы все делаем для вашего блага" (с) Менеджер гугл

3.33, Ананоним (?), 08:16, 04/08/2020 [^] [^^] [^^^] [ответить]	–1 +/–
И как же они после будут отухлять старые, конкурирующие с новыми-модными-молодёжными, выпуски ПО? А разработчики шо, на улицу захотели? Если будут создавать неуязвимое ПО, их же на мороз выпнут. Во дела...

4.35, ss (??), 08:19, 04/08/2020 [^] [^^] [^^^] [ответить]

+1 +/–

выйдет новый процессор, на котором ваше старое ПО просто не запустится...
найдут случайно затесавшийся баг... (с частотой 1/365 релиза)
возникнет новый хайп...

ой.. вы такие наивности говорите..

"Постоянная работа над ошибками доводит их до совершенства" (с)

1.38, Fracta1L (ok), 08:35, 04/08/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Что планируют делать с сишными дыренями?

2.39, Аноним (39), 08:41, 04/08/2020 [^] [^^] [^^^] [ответить]	+/–
Повышать их безопасность

1.42, Аноним (42), 08:58, 04/08/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Чипизация же!

1.44, Аноним (81), 09:01, 04/08/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Это все пустое. "Преступность победить нельзя."

2.45, ss (??), 09:05, 04/08/2020 [^] [^^] [^^^] [ответить]	+/–
Можно. И генерал Ле Вин это доказал практически.

3.49, Аноним (81), 09:31, 04/08/2020 [^] [^^] [^^^] [ответить]	+/–
Хм... Только один? У других не вышло?

4.55, ss (??), 10:00, 04/08/2020 [^] [^^] [^^^] [ответить]	+/–
Другие просто не хотели

5.90, Аноним (81), 23:18, 04/08/2020 [^] [^^] [^^^] [ответить]	+/–
Хотели-хотели. Но не шмогли. И теперь ноют, что их шпилят во все дыры.

1.46, Аноним (46), 09:08, 04/08/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> В число учредителей OpenSSF вошли такие компании, как GitHub, Google, IBM, JPMorgan Chase, Microsoft Ясно, очередная диверсия против СПО.

1.50, YetAnotherOnanym (ok), 09:41, 04/08/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> JPMorgan Chase Эти-то чего там забыли?

2.61, ss (??), 10:13, 04/08/2020 [^] [^^] [^^^] [ответить]	+1 +/–
Защищают свои интересы естественно :) Вас же не удивляет что весьма крупный в россии вычислительный кластер построил сбербанк?

3.63, Аноним (39), 11:11, 04/08/2020 [^] [^^] [^^^] [ответить]	+/–
Удивляет что не Роснефть или Газпром, но там совсем другие видать интересы.

2.96, ZOGmaster (?), 16:59, 05/08/2020 [^] [^^] [^^^] [ответить]	+/–
Не тrогайте наших агентов, меrзкие гои!

1.57, Аноним (57), 10:07, 04/08/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>создание средств для проверки идентичности разработчиков. спасибо, не нужно

1.66, Аноним (66), 11:59, 04/08/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Все с анонимностью борятся

2.89, Аноним (81), 23:17, 04/08/2020 [^] [^^] [^^^] [ответить]	+/–
Читать надо между строк. Главное слово гендерной. Всяк хочет анонимом остаться. Но ответ держать придётся.

1.69, InuYasha (??), 12:26, 04/08/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>>В число учредителей OpenSSF вошли такие компании, как (0_0) Прямо список корпораций зла! (кстати, спасибо за него)

1.75, Аноним (75), 14:28, 04/08/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>Организация Linux Foundation объявила о формировании нового совместного проекта Началось... когда эти корпорасы что-то там объявляют я начинаюсь тревожится, что-то они там задумали пртив Свободы, GNU и FSF.

1.78, Аноним (78), 17:44, 04/08/2020 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Вот похерил товарищ майор gnupg https www opennet ru openforum vsluhforumID3 ... большой текст свёрнут, показать

2.82, Аноним (82), 17:57, 04/08/2020 [^] [^^] [^^^] [ответить]	+/–
> Подписанный сабключом без крос подписи первичного ключа - 1 проект. Так и я могу любой, подписанный кем-то, файл "подписать". Это документирования фича OpenPGP.

2.83, Аноним (82), 18:02, 04/08/2020 [^] [^^] [^^^] [ответить]

+/–

> создание средств для проверки идентичности разработчиков.

Верните SKS и pgp как было.

Откатите gnupg до версии 2.2.16 и поставте в ней количество подписей на ключ такое же как на серверах SKS!

1.79, Аноним (81), 17:50, 04/08/2020 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Открытое безопасным быть не может. По определению. Зачётно сказано!

2.80, Аноним (78), 17:51, 04/08/2020 [^] [^^] [^^^] [ответить]	+3 +/–
Ты не знаешь силы математики.

3.84, Аноним (81), 20:44, 04/08/2020 [^] [^^] [^^^] [ответить]	–1 +/–
О да! Силы маркетинга великая вещь!

3.92, Аноним (92), 06:38, 05/08/2020 [^] [^^] [^^^] [ответить]	+/–
Во славу Пифагора!

1.95, Аноним (95), 15:40, 05/08/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Слегка дурновато пахнущая инициатива

2.97, Аноним (-), 17:40, 05/08/2020 [^] [^^] [^^^] [ответить]	+/–
Было такое: "I'm not anti-vendor, I've built several of them and currently own one. But I think that vendor-domination of Open Source inevitably dilutes the rights of everyone else. With its increasing participation in Open Source, there's even a chance that Microsoft could be offered an OSI board seat." (B.Perens, 2008) А потом такое: "The current Data Curators are: Lanx Goh, Eric Lachaud, and Alex Li on behalf of Microsoft" "The current Code Committers are: Benjamin Wong, Jieying Chng, and Alex Li on behalf of Microsoft" И даже такое: "The data leak was first reports on May 6 by experts at the data breach monitoring Under the Breach, a hacker claimed to have obtained 500 GB of source code from Microsoft’s private GitHub repositories."

1.99, Firecat (ok), 18:55, 05/08/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Интересно, они планируют все дистрибутивы проверять на безопасность?

игнорирование участников | лог модерирования

Добавить комментарий

Текст: