Création de l’Open Source Security Foundation : ce qu’il faut savoir

Indigostar

Début août, plusieurs partenaires industriels de poids, dont de nombreux éditeurs de logiciels, ont créé l’Open Source Security Foundation (OpenSSF). Cette nouvelle collaboration interprofessionnelle est hébergée par la Linux Foundation.

Ce qu’est OpenSSF

L’OpenSSF est une association d’entreprises actives dans le développement open source. Elle rassemble les travaux de la Core Infrastructure Initiative (CII) initiée par la Linux Foundation, de l’Open Source Security Coalition (OSSC) initiée par GitHub et d’autres efforts de sécurité open source pour améliorer la sécurité des logiciels open source en créant une communauté plus large, des initiatives ciblées et des meilleures pratiques.

Pourquoi c’est important

Les logiciels libres sont par nature axés sur la communauté, mais sans véritable autorité centrale responsable de la qualité et de la maintenance. L’OpenSSF entend jouer ce rôle, sous l’égide de la Fondation Linux et en rassemblant le plus grand nombre d’entreprises possibles.

“Les logiciels libres sont au cœur de la stratégie technologique de presque toutes les entreprises et leur sécurisation est un élément essentiel de la sécurisation de la chaîne d’approvisionnement de toutes les entreprises, y compris la nôtre”, expliquait sur son blog Microsoft début août. “Grâce à l’omniprésence des logiciels open source, les attaquants exploitent actuellement des vulnérabilités dans un large éventail de services et d’infrastructures critiques, notamment les services publics, les équipements médicaux, les transports, les systèmes gouvernementaux, les logiciels traditionnels, les services cloud, le matériel et l’IoT.”

Qui sont les membres ?

Parmi les membres de l’OpenSSF, on trouve Red Hat, NCC, OWASP, Microsoft, GitHub, Google, IBM, JPMC, Cisco, 1Password, Huawei, Meta, JFrog ou encore Atlassian.

Un premier projet

Node.js sera la première communauté open source à être soutenue par le projet Alpha-Omega de l’OpenSSF. Alpha-Omega s’engage à verser environ 300 mille euros pour soutenir l’équipe de sécurité de Node.js et les efforts de remédiation des vulnérabilités jusqu’à la fin de l’année 2022, en mettant l’accent sur le soutien de meilleures normes et pratiques de sécurité open source.

Source : www.toolinux.com

Un Ancien Utilisateur

Parmi les créateurs : Microsoft, Google, IBM

mouai ce n’est pas sur eux que j’aurai parié

Violence

Et pourtant, ils financent et soutiennent beaucoup de projet Open Source.

Super pour NodeJS, beaucoup d’outils qui tournent sur PW sont basés sur NodeJS

michmich

@Violence a dit dans Création de l’Open Source Security Foundation : ce qu’il faut savoir :

Et pourtant, ils financent et soutiennent beaucoup de projet Open Source.

C’est un peu ce qui me fait peur, mais bon l’argent ne poussant pas dans les fleurs!

Le fait qu’ils nous la mettent un peu fort parfois, leur permet peut être de nous en rendre un peu.

L’un se nourrit de l’autre et inversement, veillez (moi j’ai pas le temps , je suis en cavale à Londres) à ce que l’équilibre soit de bonne facture.