Оффлайн
- Регистрация
- 21.07.20
- Сообщения
- 40.408
- Реакции
- 1
- Репутация
- 0
В августе Linux Foundation основали фонд OpenSSF. В него вошли — Core Infrastructure Initiative и Open Source Security Coalition. Их участники разработают инструментарий для поиска уязвимостей в коде и верификации программистов, участвующих в его написании. Рассказываем, что к чему.
Фото —
В чем выгода для ИТ-индустрии
Меньше багов в открытом ПО. Главные усилия фонда пойдут на поддержку решений, сокращающих вероятность появления критических уязвимостей на уровне ИТ-инфраструктуры.
Примером может быть
Новые разработки в этой области должны способствовать более оперативной реакции на аналогичные проблемы. GitHub уже передали Open Source Security Coalition решение Security Lab — оно
Лучшие методологии разработки. Будет
Фото —
Прозрачный процесс отбора специалистов. В Core Infrastructure Initiative и Open Source Security Coalition
Взгляд на перспективу
ИТ-сообщество положительно встретило новые инициативы. ИБ-специалист Microsoft Майкл Сковетта (Michael Scovetta)
Хотя один из резидентов Hacker News в тематическом треде
[SUP]Материалы по теме из нашего корпоративного блога:
You must be registered for see links
Фото —
You must be registered for see links
— UnsplashВ чем выгода для ИТ-индустрии
Меньше багов в открытом ПО. Главные усилия фонда пойдут на поддержку решений, сокращающих вероятность появления критических уязвимостей на уровне ИТ-инфраструктуры.
Примером может быть
You must be registered for see links
в OpenSSL, позволяющая несанкционированно читать память на сервере или на клиенте. В 2014 году уязвимыми оказались около 500 тыс. сайтов, и примерно 200 тыс. из них
You must be registered for see links
.Новые разработки в этой области должны способствовать более оперативной реакции на аналогичные проблемы. GitHub уже передали Open Source Security Coalition решение Security Lab — оно
You must be registered for see links
участникам площадки быстрее доводить информацию о багах в коде до мейнтейнеров. Интерфейс GitHub
You must be registered for see links
CVE-идентификатор для обнаруженной проблемы и подготовить отчет.Лучшие методологии разработки. Будет
You must be registered for see links
курируемая библиотека лучших практик, на содержимое которой может повлиять любой участник открытого сообщества. Для этих целей раз в две недели инженеры из крупных ИТ-компаний
You must be registered for see links
онлайн-встречи и обсуждать технологии, фреймворки и особенности языков программирования.
Фото —
You must be registered for see links
— Unsplash
Прозрачный процесс отбора специалистов. В Core Infrastructure Initiative и Open Source Security Coalition
You must be registered for see links
новые механизмы проверки контрибьюторов. Об их специфике известно мало, но они помогут избежать повторения истории с библиотекой event-stream для Node.js, когда новый мейнтейнер
You must be registered for see links
в неё бэкдор для кражи криптовалюты.Взгляд на перспективу
ИТ-сообщество положительно встретило новые инициативы. ИБ-специалист Microsoft Майкл Сковетта (Michael Scovetta)
You must be registered for see links
, что с момента обнаружения уязвимости до появления первых эксплойтов проходит всего три дня. Он считает, что инструментарий, разрабатываемый в рамках проектов OpenSSF, позволит выпускать «заплатки» в сжатые сроки и сокращать риски.Хотя один из резидентов Hacker News в тематическом треде
You must be registered for see links
, что специалисты начнут разработку новых ИБ-стандартов вместо того, чтобы развивать существующие. В результате вновь станет актуальной история, описанная
You must be registered for see links
.[SUP]Материалы по теме из нашего корпоративного блога:
You must be registered for see links
You must be registered for see links
You must be registered for see links
You must be registered for see links
You must be registered for see links
You must be registered for see links
You must be registered for see links
[/SUP]