Foto - Andrew Sharp - Unsplash
Quais são os benefícios para a indústria de TI
Menos bugs no software de código aberto . Os principais esforços da fundação serão para oferecer suporte a soluções que reduzam a probabilidade de vulnerabilidades críticas no nível da infraestrutura de TI.
Um exemplo seria Heartbleed em OpenSSL, que permite a leitura não autorizada de memória no servidor ou cliente. Em 2014, cerca de 500 mil sites foram considerados vulneráveis, e cerca de 200 mil deles ainda não foram corrigidos .
Novos desenvolvimentos nesta área devem facilitar respostas mais rápidas a problemas semelhantes. O GitHub já transferiu a solução do Security Lab para a Open Source Security Coalition - ela ajuda os participantes do site a trazer rapidamente informações sobre bugs no código para os mantenedores. Interface GitHubpermite obter o identificador CVE para o problema detectado e preparar um relatório.
Melhores metodologias de desenvolvimento . Será formada uma biblioteca com curadoria de melhores práticas, cujo conteúdo pode ser influenciado por qualquer pessoa na comunidade aberta. Para isso, engenheiros de grandes empresas de TI farão reuniões online a cada duas semanas e discutirão tecnologias, estruturas e recursos das linguagens de programação.
Foto - Walid Hamadeh - Unsplash
Transparent selection process . A Iniciativa de Infraestrutura Básica e a Coalizão de Segurança de Código Aberto planejam desenvolvernovos mecanismos para verificar os contribuidores. Pouco se sabe sobre seus detalhes, mas eles ajudarão a evitar a repetição da história com a biblioteca de fluxo de eventos para Node.js, quando um novo mantenedor implementou um backdoor nele para roubar criptomoedas.
Visão de perspectiva
A comunidade de TI deu as boas-vindas às novas iniciativas. O especialista em segurança cibernética da Microsoft Michael Scovetta observou que apenas três dias se passaram desde a descoberta da vulnerabilidade até o aparecimento das primeiras explorações. Ele acredita que o kit de ferramentas desenvolvido como parte dos projetos OpenSSF permitirá o lançamento de patches em um curto espaço de tempo e reduzirá os riscos.
Embora um dos residentes do Hacker News em um tópico temático expressou preocupação de que os especialistas comecem a desenvolver novos padrões de segurança da informação em vez de desenvolver os existentes. Como resultado, a história descrita em um dos quadrinhos do XKCD se tornará relevante novamente .
:
open source —
Linux. I:
Linux. II:
Linux. III: «»
Linux-