Open Source Security Foundation: O que eles fazem e qual a importância?

Quem é Open Source Security Foundation?

A Open Source Security Foundation (OpenSSF) é uma iniciativa colaborativa lançada em 2020 para melhorar a segurança do software de código aberto (OSS), reunindo líderes do setor e partes interessadas. A OpenSSF é hospedada pela Linux Foundation e tem o apoio de muitas das principais empresas de tecnologia, incluindo Google, Microsoft, IBM e GitHub.

A missão do OpenSSF é criar um ecossistema de segurança de código aberto sustentável, identificando e abordando os desafios de segurança mais urgentes enfrentados pela comunidade de código aberto.

Iniciativas do OpenSSF:

Para cumprir essa missão, o OpenSSF trabalha em várias iniciativas para aprimorar a segurança do OSS:

  • Práticas recomendadas: O OpenSSF desenvolve e promove práticas recomendadas para o desenvolvimento seguro de software, incluindo revisões de código, gerenciamento de vulnerabilidades e resposta a incidentes.
  • Ferramentas de segurança: O OpenSSF patrocina o desenvolvimento e a manutenção de ferramentas de segurança que podem ajudar a melhorar a segurança de projetos de código aberto. Essas ferramentas incluem scanners de vulnerabilidade, ferramentas de análise de código e ferramentas de análise de composição de software (SCA).
  • Revisões de segurança: O OpenSSF realiza análises de segurança de projetos populares de código-fonte aberto, identificando vulnerabilidades e fazendo recomendações de melhorias.
  • Educação e divulgação: O OpenSSF oferece programas de educação e divulgação para aumentar a conscientização sobre a importância do desenvolvimento seguro de software e para promover a adoção de práticas recomendadas na comunidade de código aberto.
  • Colaboração e comunidade: O OpenSSF promove a colaboração e a formação de comunidades entre líderes do setor, desenvolvedores e outras partes interessadas no ecossistema de código aberto. Isso inclui a realização de eventos, webinars e outras iniciativas para reunir especialistas e entusiastas para discutir e compartilhar ideias sobre como melhorar a segurança do software de código aberto.

O trabalho do OpenSSF é fundamental porque o software de código aberto é usado por milhões de pessoas em todo o mundo, e as vulnerabilidades em projetos de código aberto podem ter implicações significativas para a segurança. Ao promover as práticas recomendadas, desenvolver e manter ferramentas de segurança, realizar análises de segurança, fornecer programas de educação e divulgação e promover a colaboração e a formação de comunidades, o OpenSSF está trabalhando para tornar o software de código aberto mais seguro e confiável para todos.

OpenSSF Scorecard:

O OpenSSF Scorecard é uma ferramenta desenvolvida pela Open Source Security Foundation (OpenSSF) para ajudar os desenvolvedores e as organizações a avaliar a segurança de seus projetos de código-fonte aberto. O scorecard avalia os projetos de código-fonte aberto com base em um conjunto de critérios de segurança, incluindo:

  • Teste de segurança: O scorecard avalia se o projeto tem testes automatizados para vulnerabilidades de segurança e se os testes são executados regularmente.
  • Revisão de código: O scorecard avalia se o projeto tem um processo de revisão de código em vigor para identificar e corrigir vulnerabilidades de segurança.
  • Gerenciamento de vulnerabilidades: O scorecard avalia se o projeto tem um processo implementado para gerenciar e divulgar as vulnerabilidades de segurança.
  • Documentação de segurança: O scorecard avalia se o projeto tem uma documentação que inclui diretrizes e práticas recomendadas de segurança.
  • Envolvimento da comunidade: A tabela de pontuação avalia o envolvimento do projeto com a comunidade de código aberto e se ele responde aos problemas de segurança em tempo hábil.

O scorecard fornece um relatório detalhado sobre o status de segurança do projeto, incluindo áreas em que o projeto pode melhorar sua segurança. Ele também fornece orientação e recursos para abordar os problemas de segurança identificados.

O OpenSSF Scorecard é uma ferramenta valiosa para que desenvolvedores e organizações avaliem a segurança de seus projetos de código aberto e identifiquem as áreas em que podem melhorar a segurança de seus softwares. Ele promove a adoção de práticas recomendadas para o desenvolvimento seguro de software e ajuda a criar um ecossistema de código-fonte aberto mais seguro e confiável.

Empresas que confiam no OpenSSF:

A OpenSSF (Open Source Security Foundation) é apoiada por muitas das principais empresas de tecnologia, incluindo:

  • Google
  • Microsoft
  • IBM
  • Red Hat
  • GitHub
  • Facebook
  • Cisco
  • Intel
  • VMware
  • JPMorgan Chase
  • Comcast
  • Salesforce
  • Adobe
  • Huawei
  • Fujitsu
  • Linux Foundation

Essas e outras empresas se juntaram ao OpenSSF para colaborar no aprimoramento da segurança do software de código aberto e promover a adoção de práticas recomendadas para o desenvolvimento seguro de software. Juntas, elas fornecem financiamento, experiência e recursos para apoiar as iniciativas do OpenSSF, incluindo o desenvolvimento e a manutenção de ferramentas de segurança, a promoção de práticas recomendadas e a realização de análises de segurança.
Saiba mais.

Fonte

https://openssf.org/about/

Douglas Bernardini

Cybersecurity Specialist & Cloud Computing Expert with +10 years experience in IT infrastructure.

Specialist delivering assets for development teams in Google Cloud Platform (GCP) and Amazon web services (AWS)

Hands-on cloud security enterprise architect, with experience in SIEM/SOC, IAM, cryptography, pentest, network topologies, operating systems, databases, and applications.

Experience in DevSecOps analysis to discover vulnerabilities in software, identifying CI/CD risks gaps and recommending secure-coding process (S-SDLC).

Facebook Instagram Twitter

PDF's

Harvard Linux Presentation for Information Security

Open SSF