Linux Vakfı tarafından bir endüstriler arası girişimi olan Açık Kaynak Güvenlik Vakfı (OpenSSF), açık kaynak projelerinin olgunluğu ile gelişen katmanlı bir güvenlik uygulamaları çerçevesi olan Açık Kaynak Proje Güvenlik Taban çizgisinin (OSPS taban çizgisi) ilk yayınlandığını duyurdu.
OSPS taban çizgisi hakkında
OSPS taban çizgisi, OpenSSF ve diğer uzman gruplarından mevcut rehberliği derler, yazılım geliştirme ve tüketim güvenliğini artıran ve genel olarak açık kaynaklı yazılım projeleri için daha iyi bir güvenlik duruşuna yol açan görevleri, süreçleri, eserleri ve yapılandırmaları özetler.
Ana hatlı uygulamalar erişim kontrolü, belgeler, yönetişim, yapım ve serbest bırakma, güvenlik değerlendirmesi, güvenlik açığı yönetimi ve daha fazlası ile ilgilidir. Taban çizgisi, kontrolleri üç katmanda gruplandırıyor:
- Vade Seviye 1: Herhangi bir kod veya kod dışı proje için herhangi bir sayıda bakıcı veya kullanıcı ile
- Vade Seviye 2: Herhangi bir kod projesi için En az 2 koruyucu ve az sayıda tutarlı kullanıcı var
- Vade Seviye 3: Herhangi bir kod projesi için Çok sayıda tutarlı kullanıcı var.
Başlangıçlara bağlı kalarak, geliştiriciler AB Siber Esneklik Yasası (CRA) ve ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Güvenli Yazılım Geliştirme Çerçevesi (SSDF) gibi küresel siber güvenlik düzenlemelerine uyumu destekleyen bir temel oluşturabilirler.
OpenSSF’nin güvenlik mimarı Christopher Robinson, ortaya koydukları güvenlik uygulamalarının hem pratik hem de etkili olduğundan emin olduklarını söylüyor.
OSPS taban çizgisi pilot çabalarına öncülük ettikten sonra bağımsız açık kaynak topluluk yöneticisi Stacey Potter, “Pilot sunumunda yer alan projelerden, Guac, OpenVex, BOMCTL ve açık telemetriden evlat edinme taahhütleri de dahil olmak üzere yararlı geri bildirimler aldık” dedi.
“Orada tüm güvenlik standartlarında gezinmenin zor olabileceğini biliyoruz, bu yüzden projenizle büyüyen bir çerçeve oluşturduk. Amacımız, tahmini bundan çıkarmak ve ekstra stres eklemeden koruyucuların nerede durdukları konusunda kendinden emin olmalarına yardımcı olmaktır. Her şey toplumu güçlendirmek ve açık kaynağı herkes için daha güvenli hale getirmekle ilgili! ”
OpenSSF, açık kaynak geliştiricileri, bakım alanlarını ve kuruluşları OSPS taban çizgisini kullanmaya davet eder. Paydaşlar, bu girişimle ilgilenerek, çerçevenin geliştirilmesine ve açık kaynak topluluğunda güvenlik en iyi uygulamalarının yaygın olarak benimsenmesine katkıda bulunabilirler.