¿Qué es OpenSSF?
Se trata de una organización fundada, entre otros por: GitHub, Google, IBM, Microsoft, Intel, GitLab, HackerOne, y Red Hat.
Estas grandes compañías tienen ahora como objetivo mejorar la seguridad del software de código abierto, la colaboración entre empresas y la apuesta por mejores prácticas.
La Open Source Security Foundation (OpenSSF) pretende unificar proyectos y capacidades para corregir las diferentes vulnerabilidades que se producen en este tipo de software a la mayor brevedad posible.
Las iniciativas técnicas iniciales se centrarán en:
- Divulgación de vulnerabilidades
- Herramientas de seguridad
- Prácticas recomendadas de seguridad
- Identificación de amenazas de seguridad para proyectos de código abierto
- Asegurar proyectos críticos
- Verificación de identidad del desarrollador
OpenSSF parte de la premisa de que los investigadores de seguridad necesitan un mecanismo que les permita abordar de manera colaborativa los métodos necesarios para proteger la cadena de suministro de seguridad de código abierto, ya que entienden que los investigadores de seguridad, independientemente de la organización a la que representen, tienen intereses, preocupaciones y problemas comunes.
Los valores que defienden son:
- Bien público. La seguridad del código abierto es un bien público y, por lo tanto, debe protegerse en todos los sentidos.
- Transparencia: El trabajo de la fundación se pondrá a disposición del público.
- Seguridad del software de código abierto: con la intención de crear recursos y herramientas para ayudar a escalar las mejoras de seguridad para beneficiar al ecosistema de código abierto en su conjunto.
- Agilidad: con resultados y herramientas concretos para ayudar a que el código abierto sea más seguro lo más rápido posible.
- Neutralidad: no quieren inclinarse hacia ningún proveedor o plataforma determinados.
Si queréis uniros a esta iniciativa puedes hacerlo visitando la web oficial de OpenSSF y de Github.
Y, para todos aquellos que dudéis sobre la seguridad web, si corréis algún peligro por culpa de alguna vulnerabilidad, podéis solicitar, de forma gratuita, una auditoría de seguridad web a CloudsDEFENSE.
