Création de l’Open Source Security Foundation : ce qu’il faut savoir
(2022/08/30)
- Reference: 2022-08-30T06_22_34Z
- News link: https://www.toolinux.com/?open-source-security-foundation-creation
- Source link:
Création de l’Open Source Security Foundation : ce qu’il faut savoir
mardi 30 août 2022
Début août, plusieurs partenaires industriels de poids, dont de nombreux éditeurs de logiciels, ont créé l’Open Source Security Foundation (OpenSSF). Cette nouvelle collaboration interprofessionnelle est hébergée par la Linux Foundation.
Ce qu’est OpenSSF
[1]L’OpenSSF est une association d’entreprises actives dans le développement open source . Elle rassemble les travaux de la Core Infrastructure Initiative (CII) initiée par la Linux Foundation, de l’Open Source Security Coalition (OSSC) initiée par GitHub et d’autres efforts de sécurité open source pour améliorer la sécurité des logiciels open source en créant une communauté plus large, des initiatives ciblées et des meilleures pratiques.
Pourquoi c’est important
Les logiciels libres sont par nature axés sur la communauté, mais sans véritable autorité centrale responsable de la qualité et de la maintenance . L’OpenSSF entend jouer ce rôle, sous l’égide de la Fondation Linux et en rassemblant le plus grand nombre d’entreprises possibles.
" Les logiciels libres sont au cœur de la stratégie technologique de presque toutes les entreprises et leur sécurisation est un élément essentiel de la sécurisation de la chaîne d’approvisionnement de toutes les entreprises, y compris la nôtre ", [2]expliquait sur son blog Microsoft début août. " Grâce à l’omniprésence des logiciels open source, les attaquants exploitent actuellement des vulnérabilités dans un large éventail de services et d’infrastructures critiques, notamment les services publics, les équipements médicaux, les transports, les systèmes gouvernementaux, les logiciels traditionnels, les services cloud, le matériel et l’IoT ."
Qui sont les membres ?
Parmi les [3]membres de l’OpenSSF , on trouve Red Hat, NCC, OWASP, Microsoft, GitHub, Google, IBM, JPMC, Cisco, 1Password, Huawei, Meta, JFrog ou encore Atlassian.
Un premier projet
Node.js sera la [4]première communauté open source à être soutenue par le projet Alpha-Omega de l’OpenSSF. Alpha-Omega s’engage à verser environ 300 mille euros pour soutenir l’équipe de sécurité de Node.js et les efforts de remédiation des vulnérabilités jusqu’à la fin de l’année 2022, en mettant l’accent sur le soutien de meilleures normes et pratiques de sécurité open source.
[5]
[1] https://openssf.org/
[2] https://cloudblogs.microsoft.com/opensource/2020/08/03/microsoft-joins-open-source-security-foundation/
[3] https://openssf.org/about/members/
[4] https://openssf.org/blog/2022/04/18/openssf-selects-node-js-as-initial-project-to-improve-supply-chain-security/
[5] https://www.toolinux.com/?open-source-security-foundation-creation#forum
mardi 30 août 2022
Début août, plusieurs partenaires industriels de poids, dont de nombreux éditeurs de logiciels, ont créé l’Open Source Security Foundation (OpenSSF). Cette nouvelle collaboration interprofessionnelle est hébergée par la Linux Foundation.
Ce qu’est OpenSSF
[1]L’OpenSSF est une association d’entreprises actives dans le développement open source . Elle rassemble les travaux de la Core Infrastructure Initiative (CII) initiée par la Linux Foundation, de l’Open Source Security Coalition (OSSC) initiée par GitHub et d’autres efforts de sécurité open source pour améliorer la sécurité des logiciels open source en créant une communauté plus large, des initiatives ciblées et des meilleures pratiques.
Pourquoi c’est important
Les logiciels libres sont par nature axés sur la communauté, mais sans véritable autorité centrale responsable de la qualité et de la maintenance . L’OpenSSF entend jouer ce rôle, sous l’égide de la Fondation Linux et en rassemblant le plus grand nombre d’entreprises possibles.
" Les logiciels libres sont au cœur de la stratégie technologique de presque toutes les entreprises et leur sécurisation est un élément essentiel de la sécurisation de la chaîne d’approvisionnement de toutes les entreprises, y compris la nôtre ", [2]expliquait sur son blog Microsoft début août. " Grâce à l’omniprésence des logiciels open source, les attaquants exploitent actuellement des vulnérabilités dans un large éventail de services et d’infrastructures critiques, notamment les services publics, les équipements médicaux, les transports, les systèmes gouvernementaux, les logiciels traditionnels, les services cloud, le matériel et l’IoT ."
Qui sont les membres ?
Parmi les [3]membres de l’OpenSSF , on trouve Red Hat, NCC, OWASP, Microsoft, GitHub, Google, IBM, JPMC, Cisco, 1Password, Huawei, Meta, JFrog ou encore Atlassian.
Un premier projet
Node.js sera la [4]première communauté open source à être soutenue par le projet Alpha-Omega de l’OpenSSF. Alpha-Omega s’engage à verser environ 300 mille euros pour soutenir l’équipe de sécurité de Node.js et les efforts de remédiation des vulnérabilités jusqu’à la fin de l’année 2022, en mettant l’accent sur le soutien de meilleures normes et pratiques de sécurité open source.
[5]
[1] https://openssf.org/
[2] https://cloudblogs.microsoft.com/opensource/2020/08/03/microsoft-joins-open-source-security-foundation/
[3] https://openssf.org/about/members/
[4] https://openssf.org/blog/2022/04/18/openssf-selects-node-js-as-initial-project-to-improve-supply-chain-security/
[5] https://www.toolinux.com/?open-source-security-foundation-creation#forum