Élargit les groupes de travail principaux avant la journée OpenSSF

SAN FRANCISCO, le 9 mai 2022 – Le Fondation de sécurité open source (OpenSSF), une organisation intersectorielle hébergée à la Fondation Linux qui rassemble les initiatives de sécurité de la chaîne d’approvisionnement logicielle les plus importantes au monde, a annoncé aujourd’hui 15 nouveaux membres issus des principaux secteurs du développement logiciel, de la cybersécurité, des services financiers, des communications et de l’université.

Cette série d’engagements est dirigée par deux nouveaux membres principaux, Atlassian et Sonatype, qui rejoindront le conseil d’administration d’OpenSSF. Les nouveaux engagements généraux des membres proviennent d’Arnica, Bloomberg, Comcast, Cycode, F5 Networks, Futurewei Technologies, Legit Security, Sectrend, SUSE et Tenable.

« Nous sommes ravis d’accueillir Atlassian et Sonatype, deux sociétés qui jouent un rôle essentiel dans le développement et la sécurité des logiciels modernes, au sein du conseil d’administration d’OpenSSF », Brian Behlendorf, directeur général d’OpenSSF. « Les attaques de la chaîne d’approvisionnement des logiciels open source menacent les fondements mêmes de l’innovation sur lesquels des milliards de personnes comptent. Nos 15 nouveaux membres rejoignent une communauté croissante d’organisations, de développeurs, de chercheurs et de professionnels de la sécurité qui investissent le temps et les ressources nécessaires pour répondre à ce paysage de menaces en constante évolution.

Les logiciels open source sont devenus la base sur laquelle repose notre économie numérique. Comme indiqué dans le rapport 2022 de la Linux Foundation Nomenclature logicielle (SBOM) et préparation à la cybersécurité rapport, 98% des organisations utilisent régulièrement l’open source. La même étude a révélé que 72 % des organisations sont très ou extrêmement préoccupées par la sécurité des logiciels. Les vulnérabilités récentes, telles que celle affectant Log4j, ont amené de nombreuses organisations à donner la priorité à la sécurité de la chaîne d’approvisionnement logicielle et à réaliser la nécessité d’être parfaitement au courant de l’écosystème open source, ainsi que d’y contribuer. Des gouvernements aux entreprises, la sécurité open source a été placée en tête de l’ordre du jour en tant que problème prioritaire à résoudre et, par conséquent, OpenSSF voit ses membres augmenter à un rythme rapide.

Publicité

Les derniers engagements font suite à une période productive pour OpenSSF au cours de laquelle la fondation a élargi ses principaux groupes de travail pour inclure Sécurisation des référentiels de logiciels. Ce groupe vise à améliorer les pratiques de cybersécurité là où les développeurs téléchargent le plus souvent des packages open source.

De plus, le 20 juin, la fondation organisera une journée complète de sessions à Journée OpenSSF. Les présentations, réalisées par les chefs de groupe de travail, comprendront des sujets tels que les badges de meilleures pratiques et autres bonnes pratiques, trois choses que votre projet open source doit prendre en compte et la sécurisation des projets critiques. La journée se terminera par une table ronde sur l’avenir de la sécurisation des logiciels open source. Inscription et la participation est gratuite pour tous ceux qui assistent à la conférence Open Source Summit.

Citations des membres Premier

Atlassian

« Les logiciels open source sont essentiels pour de nombreux outils et applications utilisés par des milliers d’équipes de développement dans le monde. Par conséquent, la sécurité des chaînes d’approvisionnement en logiciels a été élevée au sommet des priorités de la plupart des organisations à la suite des récentes vulnérabilités très médiatisées des logiciels open source. Ce n’est que grâce aux efforts concertés de l’industrie, du gouvernement et d’autres parties prenantes que nous pourrons garantir que l’innovation open source continue de prospérer dans un environnement sécurisé. C’est pourquoi nous sommes heureux de rejoindre OpenSSF, où nous pouvons collaborer sur des initiatives clés qui sensibilisent et stimulent l’action autour des problèmes cruciaux auxquels est aujourd’hui confrontée la sécurité de la chaîne d’approvisionnement logicielle. En tant que membre de premier plan, nous sommes ravis d’être un contributeur clé à la conduite de changements significatifs et nous sommes optimistes quant à ce que nous pouvons accomplir grâce à notre partenariat avec OpenSSF et des organisations partageant les mêmes idées au sein de ses membres. – Adrian Ludwig, directeur de la fiducie, Atlassian

Sonatype

« En tant que mainteneurs du plus grand référentiel de composants open source dans Maven Central, nous avons une vision unique de l’ampleur de la demande d’open source ces dernières années. Cependant, à mesure que cette demande a augmenté, les acteurs malveillants ont reconnu le pouvoir de l’open source et cherchent à l’utiliser contre l’industrie. Alors que ces attaques de la chaîne d’approvisionnement logicielle deviennent plus courantes, les développeurs open source sont devenus la ligne de front de cette bataille. Notre mission principale chez Sonatype est d’aider les gens à comprendre leur chaîne d’approvisionnement logicielle et à exploiter tout le bien que l’open source a à offrir, sans aucun risque. OpenSSF et ses membres partagent une vision similaire. Je suis ravi de jouer un rôle plus important dans OpenSSF en tant que membre du conseil d’administration et de travailler collectivement avec d’autres membres pour assurer la sécurité des écosystèmes open source, alors que nous cherchons tous à combattre les attaques nouvelles et anciennes contre la communauté. – Brian Fox, CTO et co-fondateur, Sonatype

Citations générales des membres

Arnica

« Les vecteurs d’attaque de la chaîne d’approvisionnement logicielle ont constamment pris la communauté de la sécurité au dépourvu. Sur la base des recherches d’Arnica sur toutes les attaques depuis 2018, nous avons trouvé deux causes profondes cohérentes. Un, mauvaise gestion de l’accès au code source et deux, incapacité à détecter un comportement anormal dans l’ensemble d’outils de développement. Le chemin pour résoudre ces lacunes est long et nous travaillons à perfectionner chaque stratégie d’atténuation des risques une par une, en commençant par introduire la toute première gestion des accès en libre-service pour GitHub. – Nir Valtman, co-fondateur et PDG, Arnica

Bloomberg

« Nous sommes extrêmement ravis de rejoindre l’Open Source Security Foundation (OpenSSF), dont les valeurs de bien public, d’ouverture et de transparence, ainsi que de diversité, d’inclusion et de représentation, s’alignent sur celles de Bloomberg. En tant qu’organisation ‘Open Source First’, nous apprécions grandement l’open source et son utilisation dans le secteur financier, et nous nous engageons pleinement à aider à sécuriser la chaîne d’approvisionnement des logiciels open source, quelque chose dans lequel nous avons investi via une collaboration continue entre notre bureau CTO et l’organisation d’ingénierie. – Gavin McNay, architecte de sécurité au bureau CTO de Bloomberg

Comcast

« Comcast s’engage pour les logiciels open source. Nous l’utilisons pour créer des produits, attirer des talents et développer notre technologie afin d’améliorer l’expérience client. En matière de sécurité open source, tout le monde joue un rôle. Nous sommes ravis de rejoindre OpenSSF avec la communauté open source mondiale pour voir comment nous pouvons continuer à évoluer pour rendre le développement open source encore plus sécurisé. – Shilla Saebi, responsable du bureau du programme open source, Comcast Cable

Réseaux F5

« La croissance de l’utilisation de l’open source a amplifié l’importance de faire progresser la sécurité de la chaîne d’approvisionnement OSS pour tous, ce qui ne peut être réalisé qu’en tant que priorité partagée au sein de l’industrie. Chez F5, nous nous engageons à garantir que les applications de nos clients sont rapides, disponibles et sécurisées dans n’importe quel environnement. C’est pourquoi nous apprécions le travail de l’Open Source Security Foundation et de ses membres participants, et nous sommes impatients de partager notre expertise dans le domaine pour aider à faire avancer ce travail important. – Geng Lin, vice-président exécutif et directeur de la technologie, F5

Futurewei Technologies

« OpenSSF est une organisation de premier plan et leader sur la sécurité open source. Futurewei est très heureux de rejoindre OpenSSF et de participer aux conversations sur les sujets importants de la sécurité et de la durabilité de l’open source. Nous attendons avec impatience des discussions et des collaborations passionnantes avec OpenSSF. – Chris Xie, responsable de la stratégie open source et du développement commercial

Sécurité légitime

«Legit Security est ravi de rejoindre OpenSSF pour faire progresser la sécurité des chaînes d’approvisionnement logicielles au sein de l’écosystème open source et fournir aux organisations des outils pour sécuriser l’infrastructure qui compose le SDLC, comme les pipelines et les systèmes. On estime que les attaques contre les chaînes d’approvisionnement en logiciels augmentent entre trois et six fois par an et constituent une menace mondiale. Nous sommes impatients de travailler avec OpenSSF pour publier des recherches sur la sécurité et apporter des outils et du code pour une livraison et une consommation de logiciels plus sécurisées dans l’ensemble de la communauté. – Liav Caspi, CTO de Legit Security

Sectend

« Nous sommes ravis de faire partie de cette fondation Open Source Security (OpenSSF) leader du secteur. En collaboration avec d’autres pairs de premier plan dans le monde entier dans divers secteurs dans le cadre de cette initiative, nous, Sectrend, visons à aider les organisations de toute taille à faire face aux risques de sécurité et de conformité des licences des logiciels open source. La sécurisation de la chaîne d’approvisionnement des logiciels est très critique pour chaque entreprise. Dans le cadre d’OpenSSF ou de la Fondation Linux, Sectrend apportera une contribution considérable à ce processus communautaire en matière d’outillage, de formation, de recherche, de meilleures pratiques et de conseil. Au-delà de la sécurité, plus que de l’open source. – Alex Xue, PDG, Sectend

SUSE

« Selon une étude récente d’une enquête Economist Impact, 95 % des organisations pratiquent l’innovation ouverte, démontrant à quel point les logiciels open source sont essentiels à l’infrastructure et aux applications de l’entreprise. Cela s’accompagne de la nécessité de sécuriser les logiciels et c’est pourquoi SUSE adopte une position proactive contre les risques de sécurité et de conformité, en exploitant des outils pour la sécurité du cycle de vie complet, y compris la gestion des vulnérabilités, la sécurité du pipeline CI/CD, la sécurité d’exécution et les certifications de sécurité gouvernementales. SUSE rejoint OpenSSF pour collaborer davantage aux efforts visant à assurer la sécurité de la chaîne d’approvisionnement des logiciels open source. – Brent Schroeder, responsable du bureau du CTO de SUSE

Défendable

« Nous sommes fiers de faire partie d’OpenSSF et de rejoindre tant de pairs de l’industrie qui comprennent l’importance cruciale de la sécurisation des logiciels open source et de sa chaîne d’approvisionnement associée. Log4j a montré au monde à quel point l’utilisation de l’OSS est omniprésente et à quel point elle peut être vulnérable si le développement et les contrôles appropriés ne sont pas mis en place pour la protéger. L’engagement de Tenable à accroître la visibilité des surfaces d’attaque inclut le déplacement vers la gauche pour sécuriser le développement de logiciels et aider les organisations à comprendre où se situent les risques dans leurs systèmes. Glen Pendley, directeur technique, Tenable

La fondation a également annoncé de nouveaux membres associés, dont la Fondation Eclipse, l’Académie chinoise des technologies de l’information et des communications (CAICT) et l’Académie chinoise des sciences (ISCAS).

Ressources additionnelles

Voir la liste complète des membres OpenSSFAssister OpenSSF Day au sommet Open Source de la Linux Foundation le 20 juin Contribuer aux efforts à un ou plusieurs des groupes de travail OpenSSF actifsLis le rapport OpenSSF et Harvard’s Census II, mettant en lumière les packages FOSS les plus couramment utilisés au niveau de la bibliothèque d’applications

À propos d’OpenSSF

Hébergé par la Fondation Linux, l’OpenSSF (lancé en août 2020) est une organisation intersectorielle qui rassemble les initiatives de sécurité open source les plus importantes du secteur et les individus et entreprises qui les soutiennent. Il combine la Linux Foundation’s Core Infrastructure Initiative (CII), fondée en réponse au bogue Heartbleed de 2014, et l’Open Source Security Coalition, fondée par le GitHub Security Lab pour créer une communauté pour soutenir la sécurité open source pour les décennies à venir. L’OpenSSF s’engage à collaborer et à travailler à la fois en amont et avec les communautés existantes pour faire progresser la sécurité open source pour tous. Pour plus d’informations, s’il vous plaît visitez: https://openssf.org/

À propos de la Fondation Linux

Fondée en 2000, la Fondation Linux et ses projets sont soutenus par plus de 1 800 membres et sont le principal foyer mondial de collaboration sur les logiciels open source, les normes ouvertes, les données ouvertes et le matériel ouvert. Les projets de la Linux Foundation sont essentiels à l’infrastructure mondiale, notamment Linux, Kubernetes, ONAP, Node.js, Hyperledger, RISC-V, etc. La méthodologie de la Linux Foundation se concentre sur l’exploitation des meilleures pratiques et la réponse aux besoins des contributeurs, des utilisateurs et des fournisseurs de solutions pour créer des modèles durables de collaboration ouverte. Pour plus d’informations, veuillez nous rendre visite à : linuxfoundation.org

Personnes-ressources pour les médias

Babel pour OpenSSF

openssf@babelpr.com

La poste OpenSSF annonce 15 nouveaux membres pour renforcer davantage la sécurité de la chaîne d’approvisionnement des logiciels open source est apparu en premier sur Fondation Linux.

Rate this post
Publicité
Article précédentGoogle Play prend la décision bizarre d’interdire les applications d’enregistrement d’appels
Article suivantComment activer la journalisation de débogage pour le service Netlogon sur Windows 10
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici