Open Source Security Foundation – Open Source Security Foundation meluncurkan inisiatif baru untuk membendung gelombang serangan rantai pasokan perangkat lunak ,Open Source Security Foundation (OpenSSF) telah meluncurkan proyek untuk meningkatkan keamanan ekosistem perangkat lunak sumber terbuka , yang didukung oleh investasi $5 juta dari Microsoft dan Google.Pengumuman Linux Foundation tentangProyek Alpha-Omega mengikuti pertemuan dengan pemerintah dan pemimpin industri di Gedung Putih sebagai tanggapan atas insiden keamanan Log4j.
Open Source Security Foundation
opensecurityfoundation.org – LATAR BELAKANG Gedung Putih menangani ‘tantangan keamanan unik’ yang dihadapi oleh ekosistem sumber terbuka selama pertemuan puncak virtual khusus Tujuannya adalah untuk meningkatkan keamanan rantai pasokan perangkat lunak sumber terbuka global dengan bekerja sama dengan pengelola proyek untuk mengungkap kerentanan baru yang belum ditemukan dalam kode sumber terbuka, dan memperbaikinya.
“Sangat penting bagi kami untuk memahami risiko keamanan yang menyertai semua dependensi perangkat lunak kami,” kata Mark Russinovich, chief technology officer di Microsoft Azure. “Alpha-Omega akan memberikan jaminan dan transparansi untuk proyek-proyek sumber terbuka utama melalui keterlibatan langsung dengan pengelola, dan dengan menggunakan alat keamanan canggih untuk mendeteksi dan memperbaiki kerentanan kritis.”
Alfa ke Omega
Bagian ‘Alpha’ dari proyek melibatkan pemilihan proyek sumber terbuka yang paling kritis, seperti yang diidentifikasi oleh campuran pendapat ahli dan data, termasuk Skor Kekritisan OpenSSF dan analisis Sensus Harvard.
Tim kemudian akan menawarkan pemodelan ancaman, pengujian keamanan otomatis, dan audit kode sumber, dan akan membantu memperbaiki setiap kerentanan yang ditemukan.
Omega, sementara itu, akan menggunakan metode dan alat otomatis untuk mengidentifikasi kerentanan keamanan kritis di setidaknya 10.000 proyek sumber terbuka yang digunakan secara luas.
Ini berarti menggunakan analisis skala cloud, triase manual oleh analis keamanan, dan pelaporan rahasia kepada pemangku kepentingan proyek.
Tim insinyur perangkat lunak yang berdedikasi akan bekerja untuk terus menyesuaikan pipa analisis untuk memotong tingkat positif palsu dan mengidentifikasi kerentanan baru.
Fondasi yang kokoh
“Ekor panjang perangkat lunak open source yang penting, ‘Omega’ dari upaya ini, selalu menjadi bagian tersulit – tidak hanya membutuhkan dana dan ketekunan yang besar, tetapi skalanya juga akan mendorong otomatisasi ekstensif untuk melacak dan idealnya memperbaiki kerentanan,” kata Eric Brewer, wakil presiden infrastruktur dan rekan kerja di Google.
“Mengaktifkan otomatisasi akan menjadi salah satu peningkatan terbesar untuk keamanan sumber terbuka.”
Kerentanan Log4j – dan banyak lainnya – telah menyoroti fakta bahwa perangkat lunak open source umumnya sangat kekurangan sumber daya.
Dan keberhasilan proyek Alpha-Omega, kata Tim Mackey, ahli strategi keamanan utama di Synopsys Cybersecurity Research Centre, akan bergantung pada peningkatan jumlah kontributor aktif yang mengerjakan proyek.
“Melihat keGitHub mengeluarkan daftar [proyek] open source populer, Anda dapat melihat proposal dan laporan bug yang tidak tertangani, tindakan yang merupakan gejala tim pengembangan yang memiliki bandwidth terbatas untuk berinvestasi dalam mengembangkan kode mereka, ”katanya.
“Menarik kontributor baru ke proyek sumber terbuka dimulai dengan pengguna proyek tersebut mengakui nilai yang mereka peroleh dari sumber terbuka dan menginvestasikan sebagian waktu pengembang mereka untuk memastikan keberlanjutan untuk semua sumber terbuka yang mendukung bisnis mereka.”
Open Source Security Foundation Mengumumkan Kursus Pendidikan dan Inisiatif Partisipasi untuk Meningkatkan Komitmennya untuk Mengamankan Infrastruktur Perangkat Lunak Dunia
Peluang pelatihan gratis, investasi anggota baru, konsolidasi dengan Prakarsa Infrastruktur Inti, dan peluang baru bagi siapa saja untuk berkontribusi mempercepat pekerjaan pada keamanan sumber terbuka
OpenSSF, kolaborasi lintas industri untuk mengamankan ekosistem open source, hari ini mengumumkan pelatihan gratis untuk mengembangkan perangkat lunak yang aman, program sertifikat profesional OpenSSF baru yang disebut Secure Software Development Fundamentals, serta program tambahan dan inisiatif teknis. Hal ini juga mengumumkan kontributor baru untuk Yayasan dan dewan penasihat yang baru terpilih dan anggota dewan pemerintahan.
Perangkat lunak open source telah menyebar ke seluruh industri, dan memastikan keamanannya adalah yang terpenting. OpenSSF, yang diselenggarakan di Linux Foundation, menyediakan forum terstruktur untuk upaya kolaboratif lintas industri. Yayasan ini berkomitmen untuk bekerja baik di hulu maupun dengan komunitas yang ada untuk memajukan keamanan sumber terbuka untuk semua.
Pelatihan dan Pendidikan Keamanan Sumber Terbuka
OpenSSF telah mengembangkan serangkaian tiga kursus gratis tentang cara mengembangkan perangkat lunak yang aman di platform pembelajaran edX nirlaba. Kursus ini ditujukan untuk pengembang perangkat lunak (termasuk profesional DevOps, insinyur perangkat lunak, dan pengembang aplikasi web) dan orang lain yang tertarik untuk mempelajari cara mengembangkan perangkat lunak yang aman. Kursus-kursus tersebut secara khusus dirancang untuk mengajarkan para profesional cara mengembangkan perangkat lunak yang aman sekaligus mengurangi kerusakan dan meningkatkan kecepatan respons ketika ditemukan kerentanan.
Program pelatihan OpenSSF mencakup program Sertifikat Profesional, Dasar-Dasar Pengembangan Perangkat Lunak Aman, yang memungkinkan individu untuk menunjukkan bahwa mereka telah menguasai materi ini. Pendaftaran publik untuk kursus dan sertifikat dibuka sekarang. Konten kursus dan tes program Sertifikat Profesional akan tersedia pada 5 November.
“OpenSSF telah menunjukkan momentum luar biasa yang menggarisbawahi meningkatnya prioritas yang ditempatkan pada keamanan sumber terbuka,” kata Mike Dolan, Wakil Presiden Senior dan GM Proyek di The Linux Foundation. “Kami senang menawarkan program sertifikat profesional Secure Software Development Fundamentals untuk mendukung kumpulan bakat yang terinformasi tentang praktik terbaik keamanan sumber terbuka.”
Baca Juga ; Open Source Vulnerability Database atau OSVD
Investasi Anggota Baru
Enam belas kontributor baru telah bergabung sebagai anggota OpenSSF sejak awal tahun ini: Arduino; AuriStor; Resmi; dibongkar; Facebook; Teknologi Huawei; Teknologi Blockchain iExec; Laboratorium Ilmu Inovasi di Harvard (LISH); Dana Peningkatan Teknologi Sumber Terbuka; Perusahaan Poliverse; Renesa; Samsung; Spektral; SUSE; Tencent; Uber; dan WhiteSource. Untuk informasi lebih lanjut tentang pendiri dan anggota baru,
Proyek Prakarsa Infrastruktur Inti Terintegrasi dengan OpenSSF
OpenSSF juga menyatukan proyek-proyek yang ada dari Core Infrastructure Initiative (CII), termasuk CII Census (analisis kuantitatif untuk mengidentifikasi proyek-proyek OSS yang penting) dan CII FOSS Contributor Survey (survei kuantitatif pengembang FOSS). Keduanya akan menjadi bagian dari kelompok kerja OpenSSF Securing Critical Projects. Kedua upaya ini akan terus dilaksanakan oleh Laboratory for Innovation Science at Harvard (LISH). Proyek lencana Praktik Terbaik CII juga sedang dialihkan ke OpenSSF.
Kepemimpinan OpenSSF
OpenSSF telah memilih Kay Williams dari Microsoft sebagai Ketua Dewan Pengurus. Anggota Dewan Pengurus yang baru terpilih meliputi:
- Jeffrey Eric Altman, AuriStor, Inc.;
- Lech Sandecki, Kanonik;
- Anand Pashupathy, Intel Corporation; dan
- Dan Lorenc dari Google sebagai perwakilan Technical Advisory Committee (TAC).
Pemilihan Perwakilan Individu Komunitas Keamanan untuk Dewan Pengurus saat ini sedang berlangsung dan hasilnya akan diumumkan oleh OpenSSF pada bulan November. Ryan Haning dari Microsoft telah terpilih sebagai Ketua Dewan Penasihat Teknis (TAC).
Akan ada Balai Kota OpenSSF pada hari Senin, 9 November 2020, 10:00a -12:00p PT, untuk berbagi pembaruan dan merayakan pencapaian selama tiga bulan pertama proyek. Peserta akan mendengar dari Dewan Pengatur, Dewan Penasihat Teknis dan pimpinan Kelompok Kerja kami, memiliki kesempatan untuk Tanya Jawab dan mempelajari lebih lanjut tentang cara terlibat dalam proyek. Daftar disini.
Keanggotaan tidak diperlukan untuk berpartisipasi dalam OpenSSF. Untuk informasi lebih lanjut dan untuk mempelajari cara terlibat, termasuk informasi tentang partisipasi dalam kelompok kerja dan forum penasehat
Komentar Anggota Baru
Arduino
“Sebagai perusahaan open-source, Arduino selalu menganggap keamanan sebagai prioritas utama bagi kami dan komunitas kami,” kata Massimo Banzi, salah satu pendiri Arduino. ‘”Kami senang bergabung dengan Open Source Security Foundation dan kami berharap dapat berkolaborasi dengan anggota lain untuk meningkatkan keamanan ekosistem open-source apa pun.”
AuriStor
“Salah satu kekuatan protokol terbuka dan ekosistem perangkat lunak sumber terbuka adalah penggunaan kembali kode dan API secara ekstensif yang memperluas penyebaran kerentanan keamanan melintasi batas produk perangkat lunak. Melacak proyek perangkat lunak hilir yang terkena dampak adalah proses yang memakan waktu dan mahal yang seringkali mencapai puluhan ribu dolar AS. Dalam Ratatouille Pixar, Auguste Gusteau terkenal dengan keyakinannya bahwa “siapa pun bisa memasak”. Hal yang sama berlaku untuk perangkat lunak: “siapa pun dapat membuat kode” tetapi sebagian besar pengembang perangkat lunak tidak memiliki sumber daya atau insentif untuk memprioritaskan praktik pengembangan yang mengutamakan keamanan atau untuk melacak dan memberi tahu dampak proyek hilir. AuriStor bergabung dengan OSSF untuk menyuarakan pentingnya menyediakan sumber daya bagi pengembang independen yang bertanggung jawab atas begitu banyak komponen perangkat lunak penting.” – Jeffrey Altman, Pendiri dan CEO atau AuriStor.
Grup Kanonik
“Adalah tanggung jawab bersama kami untuk terus meningkatkan keamanan ekosistem open source, dan kami senang bergabung dengan Open Source Security Foundation,” kata Lech Sandecki, Manajer Produk Keamanan di Canonical. “Sebagai penerbit Ubuntu, distribusi Linux paling populer, kami memberikan pemeliharaan keamanan hingga 10 tahun kepada jutaan pengguna Ubuntu di seluruh dunia. Dengan berbagi pengetahuan dan pengalaman kami dengan komunitas OSFF, bersama-sama, kami dapat membuat keseluruhan sumber terbuka lebih aman.”
dibongkar
“Inti dari open source adalah kolaborasi, dan kami sangat yakin bahwa inisiatif OSSF akan meningkatkan keamanan open source secara luas. Dengan semua anggota membawa sesuatu yang berbeda ke meja, kami dapat menciptakan komunitas yang beragam di mana pengetahuan, pengalaman, dan praktik terbaik dapat membantu membentuk ruang ini menjadi lebih baik. Debricks memiliki latar belakang yang kuat dalam penelitian dan wawasan yang luas dalam perkakas; pengetahuan yang kami harapkan akan menjadi kontribusi yang berharga bagi kelompok kerja,” kata Daniel Wisenhoff, CEO dan salah satu pendiri Debricks.
Huawei
“Dengan perangkat lunak open source menjadi fondasi penting di dunia saat ini, bagaimana memastikan keamanannya adalah tanggung jawab setiap pemangku kepentingan. Kami percaya pendirian Open Source Security Foundation akan mendorong pemahaman bersama dan praktik terbaik tentang keamanan rantai pasokan open source dan akan menguntungkan seluruh industri,” kata Peixin Hou, Kepala Pakar Sistem Terbuka dan Perangkat Lunak, Huawei. “Kami berharap dapat memberikan kontribusi untuk kolaborasi ini dan bekerja dengan semua orang secara terbuka. Ini menegaskan kembali komitmen lama Huawei untuk membuat dunia yang lebih baik, terhubung, dan lebih aman, serta cerdas.”
Laboratorium Ilmu Inovasi di Harvard
“Kami sangat antusias untuk membawa penelitian Core Infrastructure Initiative tentang prevalensi dan praktik open source saat ini ke dalam jaringan industri dan mitra yayasan yang lebih luas ini,” kata Frank Nagle, Asisten Profesor di Harvard Business School dan Co-Director Core Infrastructure Initiative di Laboratorium Ilmu Inovasi di Harvard. “Hanya melalui upaya yang terkoordinasi dan ditargetkan secara strategis – di antara pesaing dan kolaborator – kami dapat secara efektif mengatasi tantangan yang dihadapi open source saat ini.”
Dana Peningkatan Teknologi Sumber Terbuka
“OSTIF sangat senang berkolaborasi dengan para pemimpin industri dan menerapkan metodologi dan keahliannya yang luas untuk mengamankan teknologi open-source dalam skala yang lebih besar. Tingkat keterlibatan di seluruh organisasi dan industri sangat menginspirasi, dan kami berharap dapat berpartisipasi melalui Securing Critical Projects Working Group,” kata Chief Operating Officer Amir Montazery. “Linux Foundation dan OpenSSF telah berperan penting dalam menyelaraskan upaya untuk meningkatkan perangkat lunak sumber terbuka, dan OSTIF berterima kasih untuk terlibat dalam proses tersebut.” poliverse
“Polyverse merasa terhormat menjadi anggota OpenSSF. Popularitas open source sebagai opsi ‘masuk’ untuk data, sistem, dan solusi penting misi telah membawa peningkatan serangan siber. Menyatukan organisasi untuk mengatasi masalah ini secara kolaboratif adalah inti dari open source dan kami ingin mempercepat kemajuan di bidang ini,” kata Archis Gore, CTO, Polyverse.
Renesa
“Renesas menyediakan prosesor tertanam untuk berbagai segmen aplikasi, termasuk otomotif, otomasi industri, dan IoT. Renesas berkomitmen untuk memastikan integritas dan kerahasiaan sistem dan data sambil mengurangi risiko keamanan siber. Untuk memungkinkan pelanggan kami mengembangkan sistem yang kuat, sangat penting untuk memberikan root-of-trust dari perangkat lunak open source yang berjalan pada produk kami, ”kata Shinichi Yoshioka, Wakil Presiden Senior dan CTO Renesas. “Kami sangat senang bergabung dengan Open Source Security Foundation dan berkolaborasi dengan profesional keamanan terkemuka di industri untuk memajukan lingkungan komputasi yang lebih aman bagi masyarakat.”
Samsung
“Samsung berusaha memberikan keamanan terbaik di kelasnya dengan teknologi dan aktivitas kami. Risiko keamanan tidak hanya ditinjau dan dihilangkan di semua fase pengembangan produk kami, tetapi juga dipantau terus menerus dan ditambal dengan cepat, ”kata Yong Ho Hwang, Wakil Presiden Perusahaan dan Kepala Tim Keamanan Riset Samsung, Samsung Electronics. “Open source adalah salah satu pendekatan terbaik untuk mendorong upaya lintas industri dalam merespons ancaman keamanan dengan cepat dan transparan. Samsung akan terus menjadi pemimpin dalam menyediakan keamanan tingkat tinggi dengan secara aktif berkontribusi dan berkolaborasi dengan Open Source Security Foundation.”
Spektral
“Misi Spectral adalah untuk memungkinkan pengembang membangun dan mengirimkan perangkat lunak dalam skala besar tanpa khawatir. Kami merasa bahwa inisiatif OpenSSF adalah tempat yang tepat untuk berdiskusi dan meningkatkan keamanan sumber terbuka dan merupakan platform alami yang memberdayakan pengembang. Tim Spectral dengan senang hati berpartisipasi dalam kelompok kerja dan berbagi keahlian mereka dalam analisis keamanan dan penelitian tumpukan teknologi dalam skala besar, pengalaman pengembang (DX) dan perkakas, analisis dan tren basis kode sumber terbuka, analisis perilaku pengembang, meskipun tujuan akhir dari meningkatkan keamanan open source dan kebahagiaan pengembang,” kata Dotan Nahum, CEO dan salah satu pendiri Spectral.
SUSE
“Di SUSE, kami mendorong inovasi di pusat data, mobil, telepon, satelit, dan perangkat lainnya. Tidak pernah lebih penting untuk menghadirkan keamanan yang dapat dipercaya dari inti hingga ke tepi,” kata Markus Noga, VP Solutions Technology di SUSE. “Kami berkomitmen pada OpenSSF sebagai forum bagi komunitas open source untuk berkolaborasi dalam pengungkapan kerentanan, alat keamanan, dan untuk menciptakan praktik terbaik untuk menjaga semua pengguna solusi open source tetap aman.”
Tencent
“Tencent percaya pada kekuatan teknologi open source dan kolaborasi untuk memberikan solusi luar biasa untuk tantangan saat ini. Karena open source telah menjadi cara de facto untuk membangun perangkat lunak, keamanannya telah menjadi komponen penting untuk membangun dan memelihara perangkat lunak dan infrastruktur,” kata Mark Shan, Ketua Tencent Open Source Alliance dan Ketua Dewan TARS Foundation. “Dengan menyatukan organisasi yang berbeda, OpenSSF menyediakan platform di mana pengembang dapat secara kolaboratif membangun solusi yang diperlukan untuk melindungi rantai pasokan keamanan sumber terbuka. Tencent sangat bersemangat untuk bergabung dengan upaya kolaboratif ini sebagai anggota OpenSSF dan berkontribusi pada inisiatif keamanan sumber terbuka dan praktik terbaiknya.
Sumber Putih
“Di dunia sekarang ini, tim pengembangan perangkat lunak tidak dapat mengembangkan perangkat lunak dengan kecepatan saat ini tanpa menggunakan sumber terbuka. Tujuan kami selalu memberdayakan tim untuk memanfaatkan kekuatan open source dengan mudah dan aman. Kami merasa terhormat mendapatkan kesempatan untuk bergabung dengan Open Source Security Foundation di mana kami dapat bergabung dengan orang lain untuk berkontribusi, bersama, menuju praktik dan inisiatif terbaik keamanan open source.” David Habusha, Wakil Presiden Produk.
