Imaginez que vous ayez créé un projet open source qui est devenu incroyablement populaire. Des milliers, voire des millions, de développeurs dans le monde entier se fient aux lignes de code que vous avez écrites. Vous êtes devenu un héros accidentel de cette communauté – les gens adorent votre code, contribuent à l’améliorer, demandent de nouvelles fonctionnalités et encouragent les autres à l’utiliser. La vie est incroyable, mais avec un grand pouvoir et une grande influence vient une grande responsabilité.
Lorsque le code est bogué, les gens se plaignent. Lorsque des problèmes de performances surviennent dans les implémentations à grande échelle, ils doivent être résolus. Lorsque des vulnérabilités de sécurité sont découvertes, car aucun code ou ses dépendances ne sont toujours parfaits, elles doivent être corrigées rapidement pour assurer la sécurité de votre communauté.
Pour aider les projets open source à mieux répondre à certaines des responsabilités liées à la sécurité, de nombreux communautés hébergées par la Linux Foundation ont investi d’innombrables heures, ressources et code dans des efforts importants. Nous avons travaillé pour améliorer la sécurité du noyau Linux, hébergé Chiffrons et sigstore, a aidé à gérer le Normalisation ISO pour SPDX, et a rassemblé des métriques de renforcement de la communauté pour la santé et les risques des logiciels libres à travers le Projet CHAOSS – parmi beaucoup d’autres.
Aujourd’hui, nous prenons des mesures avec de nombreuses organisations de premier plan dans le monde pour améliorer la sécurité des chaînes d’approvisionnement logicielles. La Linux Foundation a levé 10 millions de dollars de nouveaux investissements pour étendre et soutenir l’Open Source Security Foundation (OpenSSF) et ses initiatives. Cette collaboration intersectorielle rassemble un écosystème pour identifier et corriger collectivement les vulnérabilités de cybersécurité dans les logiciels open source et développer des outils, une formation, une recherche, des meilleures pratiques et des pratiques de divulgation des vulnérabilités améliorés. Nous sommes également fiers d’annoncer que le sommité open source, Brian Behlendorf, servira la communauté OpenSSF en tant que directeur général.
Les engagements financiers pour OpenSSF incluent des membres Premier tels que Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, Google, IBM, Intel, JPMorgan Chase, Microsoft, Morgan Stanley, Oracle, Red Hat, Snyk et VMware. Des engagements supplémentaires proviennent de membres généraux, notamment Aiven, Anchore, Apiiro, AuriStar, Codethink, Cybertrust, Deepfence, Devgistics, DTCC, GitLab, Goldman Sachs, JFrog, Nutanix, StackHawk, Tencent, TideLift et Wind River.
Pour en savoir plus sur la façon de rejoindre l’OpenSSF ou de vous impliquer dans l’un de ses six groupes de travail, écoutez cette brève introduction de Brian Behlendorf enregistrée cette semaine à KubeCon :
En 2021, la Linux Foundation et sa communauté continueront de soutenir l’éducation et de partager des ressources essentielles à l’amélioration de la cybersécurité open source. Par exemple, cette semaine, nous avons également accueilli SupplyChainSecurityCon, où le SLSA et sigstore les projets ont été largement mis en avant.
Si vous êtes un développeur de logiciels open source, un utilisateur ou un autre participant de la communauté qui souhaite simplement aider à protéger davantage le logiciel qui accélère l’innovation dans le monde, veuillez envisager de rejoindre l’un de nos six groupes de travail OpenSSF, ou suggérer un nouveau groupe de travail qui comblera les lacunes dans les besoins de sécurité de la chaîne d’approvisionnement logicielle.
Vous pouvez suivre les dernières nouvelles d’OpenSSF ici sur notre blog, Twitter (@TheOpenSSF), et LinkedIn.
La poste Les principaux fournisseurs de technologie du monde et convergent pour améliorer la sécurité des chaînes d’approvisionnement logicielles est apparu en premier sur Fondation Linux.