Google Bergabung Dengan Open Source Security Foundation – Dalam pengembangan perangkat lunak modern, banyak pengembang kode yang digunakan berasal dari luar organisasi mereka dan bersifat open source. Meskipun ekosistem cloud dan internet bergantung pada fondasi open source, skala dan rantai ketergantungan dari library dan paket yang kita semua gunakan membuat sulit untuk memvalidasi dan memverifikasi asal kode yang Anda telan; bahwa itu up to date pada tambalan terbaru, dan berasal dari proyek yang mengikuti praktik terbaik keamanan. Untuk terus memperoleh manfaat dari open source, kita perlu memastikan bahwa sebagai komunitas kita membangun fondasi yang sekuat mungkin.
Google Bergabung Dengan Open Source Security Foundation
opensecurityfoundation.org – Di Google, keamanan selalu menjadi perhatian utama, dan kami telah mengembangkan sistem dan alat keamanan yang tangguh— termasuk yang open source —untuk melindungi sistem internal dan pelanggan kami. Kami percaya semakin banyak kami membagikan apa yang telah kami pelajari tentang keamanan open source, dan semakin banyak kami bekerja dengan mereka yang menghadapi tantangan serupa, semakin kami dapat meningkatkan status keamanan open source untuk semua orang.
Dengan senang hati kami umumkan bahwa Google bergabung dengan Open Source Security Foundation(OpenSSF) untuk bekerja bersama industri yang lebih luas dalam perjalanan meningkatkan keadaan keamanan proyek sumber terbuka yang kita semua andalkan. Google memiliki area utama dalam keamanan sumber terbuka yang ingin kami kerjakan, dan kami senang berbagi ide dengan komunitas OpenSSF dan bekerja sama. Beberapa area utama kami adalah:
Skema dan metadata bersama yang memungkinkan otomatisasi untuk menerapkan praktik terbaik keamanan di seluruh rantai pasokan perangkat lunak.
Manajemen ketergantungan dan penilaian risiko melalui alat dan data. Kami ingin mempermudah memetakan kembali kerentanan ke versi kode tertentu yang terpengaruh dan mengambil tindakan.
Build yang dapat diverifikasi melalui sistem build tepercaya sehingga kami tahu bahwa artefak belum dirusak. Proyek Tekton telah mengeksplorasi ide ini, dan kami senang berbagi beberapa ide ini dengan OpenSSF.
Sistem identitas pengembang untuk membantu mengaitkan perubahan kode kembali ke pembuat aslinya dan membantu peninjau kode memiliki autentikasi pengembang sebagai bagian dari proses peninjauan komit dan PR mereka.
Mengamankan proyek OSS yang penting dan membantu proyek merespons kerentanan. Jika Anda seorang pengelola yang tertarik untuk mendapatkan bantuan dengan respons kerentanan atau upaya rekayasa keamanan, perhatikan ruang ini!
Baca Juga : Microsoft Bergabung dengan Yayasan Keamanan Sumber Terbuka
Tantangan keamanan tidak akan pernah hilang, dan kita harus bekerja sama untuk menjaga keamanan perangkat lunak sumber terbuka yang kita andalkan secara kolektif. Jika Anda tertarik untuk terlibat dalam inisiatif OpenSSF, kunjungi openssf atau OpenSSF di GitHub . Anda dapat menjadi bagian dari bagaimana OpenSSF melayani komunitas open source dan dunia!
Oleh Kim Lewandowski, Tim Keamanan Produk, dan Dan Lorenc, Tim Keamanan Infrastruktur, Google
Siapakah Yayasan OWASP
Proyek Keamanan Aplikasi Web Terbuka ® (OWASP) adalah yayasan nirlaba yang bekerja untuk meningkatkan keamanan perangkat lunak. Melalui proyek perangkat lunak sumber terbuka yang dipimpin komunitas, ratusan cabang lokal di seluruh dunia, puluhan ribu anggota, dan konferensi pendidikan dan pelatihan terkemuka, Yayasan OWASP adalah sumber bagi pengembang dan teknolog untuk mengamankan web.
- Alat dan Sumber Daya
- Komunitas dan Jaringan
- Pelatihan Pendidikan
Selama hampir dua dekade perusahaan, yayasan, pengembang, dan sukarelawan telah mendukung Yayasan OWASP dan pekerjaannya. Donasi , Gabung , atau jadilah Anggota Perusahaan hari ini.
Sorotan Proyek – 10 Teratas
Kami kembali lagi dengan seri Sorotan OWASP lainnya dan kali ini kami memiliki proyek yang tidak perlu diperkenalkan lagi dan saya mendapat kesempatan untuk berinteraksi dengan Andrew van der Stock, Direktur Eksekutif Yayasan OWASP dan pemimpin proyek untuk 10 Besar OWASP.
OWASP Top 10 adalah buku/dokumen referensi yang menguraikan 10 masalah keamanan paling kritis untuk keamanan aplikasi web. Laporan tersebut disusun oleh tim ahli keamanan dari seluruh dunia dan datanya berasal dari sejumlah organisasi dan kemudian dianalisis.
OWASP mengacu pada Top 10 sebagai ‘dokumen kesadaran’ dan merekomendasikan agar semua organisasi memasukkan laporan ke dalam proses mereka untuk mengurangi risiko keamanan. Satu hal yang perlu diingat, itu bukan standar. Organisasi dapat mendefinisikan matriks berdasarkan lingkungan mereka sendiri. Ini juga berarti bahwa bukan hanya OWASP yang mendefinisikan Top10 tetapi juga mengambil data dari begitu banyak orang, organisasi, dan kemudian membukanya bagi kami untuk mengirimkan umpan balik. Analisis sangat menarik dan benar-benar mendapat Top 10 total empat puluh tiga CWE.
Balai Kota Pemimpin OWASP – Pemimpin sebagai Anggota
Saya telah menjadwalkan tiga Balai Kota Pemimpin pada Kamis mendatang untuk mencakup semua zona waktu utama guna membahas perubahan yang diperlukan oleh platform AMS baru kami, YourMembership. Dari perspektif tata kelola organisasi, anggota adalah pemilik organisasi, dan itulah sebabnya kami mengharuskan anggota Dewan menjadi anggota yang dibayar. Praktik tata kelola terkemuka seringkali mengharuskan non-anggota tidak boleh membuat keputusan atau memimpin organisasi.
“Organisasi keanggotaan formal adalah organisasi nirlaba yang memberikan hak khusus kepada anggotanya untuk berpartisipasi dalam urusan internalnya . Hak-hak ini diatur dalam anggaran dasar dan diatur lebih rinci dalam anggaran rumah tangga. Biasanya dalam organisasi keanggotaan formal, anggota memilih pengurus dan/atau pengurus; menyetujui perubahan anggaran rumah tangga; dan mengesahkan transaksi besar seperti merger dan pembubaran organisasi. Singkatnya, anggota memiliki minat dan suara yang kuat di masa depan organisasi dan tidak hanya pada manfaat nyata yang mungkin mereka terima sebagai anggota.”
PapanSumber
OWASP praktis unik karena saat ini tidak mengharuskan pemimpin menjadi anggota sejak awal. Semua sistem AMS yang kami evaluasi, dan yang kami pilih, memiliki persyaratan yang dibangun secara mendalam bahwa manajemen kelompok swalayan (bab, proyek, komite, dll) dicadangkan untuk anggota, sehingga tidak mungkin bagi kami untuk menghindari masalah ini lebih lama lagi.
Ada beberapa cara untuk mengelolanya, beberapa lebih baik daripada yang lain.
OWASP membutuhkan sesuatu yang dapat diterapkan oleh AMS, sederhana untuk para pemimpin, anggota, dan staf kami. Apa pun perubahan kebijakan yang diputuskan harus menghormati hukum dan privasi.
Kita harus menghindari proses manual dengan segala cara, karena jika tidak, migrasi akan memakan biaya, lambat, dan kemungkinan menyakitkan bagi para pemimpin aktif. Karena ada 850+ pemimpin unik dan 66% di antaranya bukan anggota, setiap proses manual yang dibuat oleh perubahan kebijakan ini harus dapat dikelola oleh salah satu pemimpin dan staf kami, dan dapat diselesaikan tepat waktu. Saya ingin menghindari rasa sakit yang dibuat seperti ketika kami bermigrasi ke situs web kami saat ini. Pembatasan ini kemungkinan akan membuat beberapa opsi kebijakan menjadi kurang diinginkan.
Silakan pilih waktu terbaik di zona waktu Anda jika Anda ingin mempelajari lebih lanjut tentang bagaimana keanggotaan Leader perlu diubah:
Leader Town Hall 0700 EDT AS
Balai Kota Pemimpin 1300 EDT AS
Leader Town Hall 2030 US EDT
Jika Anda melakukan RSVP lebih awal, silakan ambil undangan kalender baru dari Meetup, karena sekarang berisi tautan di atas ke ruang Zoom.
Karena waktunya singkat, kami perlu membagi perubahan kebijakan “pemimpin sebagai anggota” yang diperlukan oleh AMS, dan diskusi model keanggotaan di masa mendatang (seperti “bayar sesuai keinginan Anda”). Jika ada waktu di akhir, saya baik-baik saja jika ada diskusi model keanggotaan setelah kita membahas topik utama.
