pro100lev

НОВОСТИ Кто займется развитием безопасности открытого ПО — обсуждаем новые проекты и их будущее

NewsBot
Оффлайн

NewsBot

.
.
Регистрация
21.07.20
Сообщения
40.408
Реакции
1
Репутация
0
В августе Linux Foundation основали фонд OpenSSF. В него вошли — Core Infrastructure Initiative и Open Source Security Coalition. Их участники разработают инструментарий для поиска уязвимостей в коде и верификации программистов, участвующих в его написании. Рассказываем, что к чему.


Фото — — Unsplash

В чем выгода для ИТ-индустрии


Меньше багов в открытом ПО. Главные усилия фонда пойдут на поддержку решений, сокращающих вероятность появления критических уязвимостей на уровне ИТ-инфраструктуры.

Примером может быть в OpenSSL, позволяющая несанкционированно читать память на сервере или на клиенте. В 2014 году уязвимыми оказались около 500 тыс. сайтов, и примерно 200 тыс. из них .

Новые разработки в этой области должны способствовать более оперативной реакции на аналогичные проблемы. GitHub уже передали Open Source Security Coalition решение Security Lab — оно участникам площадки быстрее доводить информацию о багах в коде до мейнтейнеров. Интерфейс GitHub CVE-идентификатор для обнаруженной проблемы и подготовить отчет.

Лучшие методологии разработки. Будет курируемая библиотека лучших практик, на содержимое которой может повлиять любой участник открытого сообщества. Для этих целей раз в две недели инженеры из крупных ИТ-компаний онлайн-встречи и обсуждать технологии, фреймворки и особенности языков программирования.

g6jgcukhkrjfq8uflt8dxd1k8oq.jpeg

Фото — — Unsplash

Прозрачный процесс отбора специалистов. В Core Infrastructure Initiative и Open Source Security Coalition новые механизмы проверки контрибьюторов. Об их специфике известно мало, но они помогут избежать повторения истории с библиотекой event-stream для Node.js, когда новый мейнтейнер в неё бэкдор для кражи криптовалюты.

Взгляд на перспективу


ИТ-сообщество положительно встретило новые инициативы. ИБ-специалист Microsoft Майкл Сковетта (Michael Scovetta) , что с момента обнаружения уязвимости до появления первых эксплойтов проходит всего три дня. Он считает, что инструментарий, разрабатываемый в рамках проектов OpenSSF, позволит выпускать «заплатки» в сжатые сроки и сокращать риски.

Хотя один из резидентов Hacker News в тематическом треде , что специалисты начнут разработку новых ИБ-стандартов вместо того, чтобы развивать существующие. В результате вновь станет актуальной история, описанная .


[SUP]Материалы по теме из нашего корпоративного блога:

actz7ltk4slyfsj1icsuxxc2c-m.png

actz7ltk4slyfsj1icsuxxc2c-m.png

actz7ltk4slyfsj1icsuxxc2c-m.png

actz7ltk4slyfsj1icsuxxc2c-m.png

actz7ltk4slyfsj1icsuxxc2c-m.png

actz7ltk4slyfsj1icsuxxc2c-m.png

qptzoop11y_trvrrufgovfzhdmk.png
[/SUP]
 
Сверху Снизу