La Open Source Security Foundation (OpenSSF) es una nueva organización fundada por GitHub, Google, IBM, Microsoft, Intel, GitLab, HackerOne, y Red Hat, entre otros. Su objetivo es unir en un mismo lugar las iniciativas para fomentar la seguridad del sooftware open source y acelerar la colaboración entre industrias.
Al menos así es como lo explica la web oficial de este nuevo proyecto dentro de la Linux Foundation, que tiene entre sus miembros a algunas de las empresas tecnológicas más grandes del mundo, unas que además aprovechan proyectos open source de gran escala en sus productos comerciales, como Microsoft (dueña de GitHub), IBM (dueña de Red Hat) y Google.
Herramientas de seguridad y divulgación de vulnerabilidades
Esta fundación busca ser una colaboración masiva entre gigantes del software para mejorar la respuesta a las vulnerabilidades en el software de código abierto. De hecho, la misma Microsoft (recién amante del open source) dice que moverá muchos de sus recursos a esta iniciativa para ayudar a identificar amenazas de seguridad, establecer las mejores prácticas, desarrollar herramientas y mejorar la divulgación de las vulnerabilidades.
Esperan que su sistema de divulgación de vulnerabilidades ayude a los desarrolladores a solventar problemas en su software open source "en minutos en lugar de meses".
Este último punto es especialmente interesante dado que en la OpenSSF colaborarán con empresas como Google, cuyo grupo de especialistas en ciberseguridad (Project Zero) constantemente choca con Microsoft por revelar vulnerabilidades de la empresa antes de que hayan podido solucionarlas.
La OpenSSF fue establecida con la premisa de que hace falta un mecanismo para que los investigadores de seguridad puedan colaborar en asegurar la cadena de suministro en el open source, y que esos investigadores en diferentes organizaciones tienen intereses y preocupaciones en común. La OpenSSF buscará facilitar los diálogos entre esas organizaciones.
Jim Zemlin, el director ejecutivo de la Linux Foundation lo explicó así:
Creemos que el open source es un bien público y en todas las industrias tenemos la responsabilidad de unirnos para mejorar y apoyar la seguridad del software de código abierto del que todos dependemos. Garantizar la seguridad del open source es una de las cosas más importantes que podemos hacer y requiere que todos alrededor del mundo colaboremos con el esfuerzo. OpenSSF proporcionará un foro para un esfuerzo verdaderamente colaborativo entre industrias.
Otros miembros fundadores de OpenSSF incluyen también a ElevenPaths, Okta, Purdue, SAFECode, StackHawk, Trail of Bits, JPMorgan Chase, NCC Group, OWASP Foundation, Uber y VMware.
Ver 7 comentarios