OpenSSF Sireni Açık Kaynak Yazılımlara Yönelik Tehdit İstihbaratını Paylaşacak


Açık Kaynak Güvenlik Vakfı, açık kaynak yazılımlardaki güvenlik açıklarına ilişkin tehdit istihbaratını paylaşmak için bir e-posta posta listesi başlattı.

OpenSSF’ye göre Siren, gerçek zamanlı güvenlik uyarı bültenleri sağlamak ve topluluk odaklı bir bilgi tabanı sunmak için “tehdit istihbaratını toplamayı ve yaymayı” hedefliyor. Üyeler, açık kaynak yazılımlara yapılan saldırılarda kullanılan taktikler, teknikler ve prosedürler gibi bilgilerin yanı sıra gerçek olaylardan kaynaklanan risklerin göstergeleri gibi bilgileri sağlamak ve almak için posta listesini kullanabilirler.

Girişim kısmen yakın zamanda keşfedilen bir XZ Utils kütüphanesindeki arka kapıAçık kaynaklı projelerin tehdit istihbaratını dağıtması ve alması için merkezi bir yöntemin olmadığı ortaya çıktı. Farklı araştırmacılar XZ Utils’in arka kapısını araştırdıkça bulguları çeşitli forumlarda ve bağımsız bloglarda paylaşıldı. İnsanların ulaşabileceği merkezi bir yer yoktu. alakalı bilgileri bul.

Çeşitli endüstri sektörleri, söz konusu sektöre yönelik saldırılara ilişkin tehdit bilgilerinin dağıtımını kolaylaştırmak için bilgi paylaşım ve analiz merkezlerine (ISAC) güvenmektedir. Mevcut OSS güvenliği posta listesi, topluluk içindeki güvenlik açıklarını iletmek için kullanışlıdır, ancak “açık kaynak projeleri, dağıtımcılar, güvenlik araştırmacıları ve geliştiriciler de dahil olmak üzere daha geniş bir hedef kitleyle açıklardan yararlanmalar hakkında bilgi paylaşmak için etkili kanalların eksikliği” vardır. OpenSSF dedi ki.

OpenSSF’nin umudu, e-posta listesinin açık kaynak projeleri için bu boşluğu doldurması ve topluluğa, ortaya çıkan tehditler hakkında bilgi bulmaları için merkezi bir konum sağlamasıdır. Siren, yeni kusurların ifşa edileceği bir yer olmayacak, bunun yerine “ilk paylaşım ve koordinasyon sonrasında toplumu tehditler ve faaliyetler hakkında bilgilendirmenin ifşa sonrası aracı” olacak.

Siren halka açık olacak. Kayıt gerekli olacak sadece listeye yazmak için. OpenSSF, topluluktaki “geliştirici, bakımcı veya güvenlik meraklısı” kişileri kaydolmaya teşvik etti.





Source link