20.09.2020 00:05:28 |
Автор: 
Фото Andrew Sharp Unsplash
В чем выгода для ИТ-индустрии
Меньше багов в открытом ПО. Главные усилия фонда пойдут на поддержку решений, сокращающих вероятность появления критических уязвимостей на уровне ИТ-инфраструктуры.
Примером может быть Heartbleed в OpenSSL, позволяющая несанкционированно читать память на сервере или на клиенте. В 2014 году уязвимыми оказались около 500 тыс. сайтов, и примерно 200 тыс. из них до сих пор не пропатчены.
Новые разработки в этой области должны способствовать более оперативной реакции на аналогичные проблемы. GitHub уже передали Open Source Security Coalition решение Security Lab оно помогает участникам площадки быстрее доводить информацию о багах в коде до мейнтейнеров. Интерфейс GitHub позволяет получить CVE-идентификатор для обнаруженной проблемы и подготовить отчет.
Лучшие методологии разработки. Будет сформирована курируемая библиотека лучших практик, на содержимое которой может повлиять любой участник отрытого сообщества. Для этих целей раз в две недели инженеры из крупных ИТ-компаний будут проводить онлайн-встречи и обсуждать технологии, фреймворки и особенности языков программирования.
Фото Walid Hamadeh Unsplash
Прозрачный процесс отбора специалистов. В Core Infrastructure Initiative и Open Source Security Coalition планируют разработать новые механизмы проверки контрибьюторов. Об их специфике известно мало, но они помогут избежать повторения истории с библиотекой event-stream для Node.js, когда новый мейнтейнер внедрил в неё бэкдор для кражи криптовалюты.
Взгляд на перспективу
ИТ-сообщество положительно встретило новые инициативы. ИБ-специалист Microsoft Майкл Сковетта (Michael Scovetta) отметил, что с момента обнаружения уязвимости до появления первых эксплойтов проходит всего три дня. Он считает, что инструментарий, разрабатываемый в рамках проектов OpenSSF, позволит выпускать заплатки в сжатые сроки и сокращать риски.
Хотя один из резидентов Hacker News в тематическом треде высказал беспокойство, что специалисты начнут разработку новых ИБ-стандартов вместо того, чтобы развивать существующие. В результате вновь станет актуальной история, описанная в одном из комиксов XKCD.
Материалы по теме из нашего корпоративного блога:
Какие
есть открытые ОС для сетевого оборудованияКак
Европа переходит на открытое ПО для госучрежденийУчастие
в open source проектах может быть выгодным для компаний почему и
что это даетВся
история Linux. Часть I: с чего все началосьВся
история Linux. Часть II: корпоративные перипетииИстория
Linux. Часть III: новые рынки и старые враги
Бенчмарки для
Linux-серверов
Категории: