Prawie cztery lata temu Microsoft dołączył do Linux Foundation jako platynowy członek, co było wyraźnym potwierdzeniem jego odmienionego nastawienia do świata Open Source. Przez kolejne lata w tym temacie działo się wiele, m.in. gigant został największym pojedynczym kontrybutorem otwartego kodu. Teraz w ramach Linux Foundation firma dołącza do nowej inicjatywy — Open Source Security Foundation.
Open Source Security Foundation (OpenSSF) to nowa, wielobranżowa forma współpracy zarządzana przez Linux Foundation. OpenSSF łączy Core Infrastructure Initiative (CII) zainicjowaną przez Linux Foundation, Open Source Security Coalition (OSSC) zainicjowaną przez GitHub wraz z innymi open-source'owymi działaniami na rzecz bezpieczeństwa oprogramowania poprzez tworzenie społeczności, inicjatywy i najlepsze praktyki. Microsoft jest jednym ze współzałożycieli obok takich gigantów, jak GitHub, Google, IBM, JPMC, NCC Group, OWASP Foundation i Red Hat.
Oprogramowanie open-source jest kluczowe dla strategii technologicznej niemal każdej firmy i ochranianie go jest ważną częścią zabezpieczania łańcucha dostaw dla wszystkich, wliczając w to nasz własny. Jako że oprogramowanie open source jest wszechobecne, atakujący exploitują obecnie podatności w szerokiej gamie krytycznych usług i infrastrukturze, wliczając w to narzędzia, wyposażenie medyczne, transport, systemy rządowe, tradycyjne oprogramowanie, usługi chmurowe, hardware i IoT.
Oprogramowanie open-source jest właściwie obsługiwane przez społeczność i dlatego nie ma władzy centralnej odpowiedzialnej za jakość i utrzymanie. Ponieważ kod źródłowy może być kopiowany i klonowany, numeracja wersji i zależności są szczególnie skomplikowane. Oprogramowanie open-source jest też podatne na ataki przeciw samej naturze społeczności, takie jak wtedy, gdy atakujący stają się opiekunami projektów i wprowadzają malware. Mając na uwadze złożoność i społecznościową naturę oprogramowania open-source, budowanie lepszej ochrony również musi być procesem kierowanym przez społeczność.
— Mark Russinovich Chief Technology Officer, Microsoft Azure
Gigant przez lata angażował się w kilka open-source'owych inicjatyw bezpieczeństwa, zajmując się m.in. identyfikacją zagrożeń bezpieczeństwa dla projektów Open Source, dostarczaniem narzędzi chroniących, najlepszymi praktykami bezpieczeństwa i odkrywaniem podatności. Teraz zamierza wnieść to wszystko razem pod skrzydła OpenSSF.
341f31d.png)