Soutenu par la Fondation Linux, l'Open Source Security Foundation (OpenSSF) vise à créer un forum intersectoriel pour un effort collaboratif en vue d'améliorer la sécurité des logiciels open source. La liste des membres initiaux comprend Google, Microsoft, GitHub, IBM, Red Hat, et d'autres.
L'open source devenant de plus en plus omniprésent, sa sécurité est devenue un facteur clé pour la construction et la maintenance d'une infrastructure critique qui prend en charge les systèmes critiques dans toute notre société. Il est plus important que jamais de rassembler l'industrie dans un effort collaboratif et ciblé pour faire progresser l'état de la sécurité open source. L'infrastructure technologique mondiale en dépend.
CTO pour Microsoft Azure, Mark Russinovich a expliqué clairement pourquoi la sécurité open source doit être un effort de la communauté :
Les logiciels open source sont intrinsèquement axés sur la communauté et, à ce titre, aucune autorité centrale n'est responsable de la qualité et de la maintenance. [...] Les logiciels open source sont également vulnérables aux attaques contre la nature même de la communauté, telles que les attaquants devenant les mainteneurs de projets et introduisant des logiciels malveillants. Compte tenu de la complexité et de la nature communautaire des logiciels open source, la création d'une meilleure sécurité doit également être un processus mené par la communauté.
L'OpenSSF rassemblera diverses initiatives de sécurité open source en commençant par la Core Infrastructure Initiative (CII) et Open Source Security Coalition de GitHub. En outre, il créera plusieurs groupes de travail pour répondre aux principaux problèmes de sécurité. Ceux-ci incluent la divulgation de vulnérabilité, dans le but d'accélérer le temps nécessaire pour corriger une vulnérabilité et déployer le correctif; des outils de sécurité, dans le but d'améliorer les outils de sécurité existants et d'en développer de nouveaux; l'identification des menaces de sécurité, en se concentrant sur la création de mesures clés pour mieux évaluer la façon dont chaque composant d'un projet open source se comporte en matière de sécurité; et les meilleures pratiques en matière de sécurité.
De plus, l'OpenSSF visera à aider les projets critiques à obtenir le soutien dont ils ont besoin pour garantir leur sécurité.
Qu'il s'agisse de l'aide dédiée d'experts spécialisés ou simplement d'accorder de l'argent ou des crédits dans le cloud, nous reconnaissons qu'il n'y a pas deux projets identiques et que le soutien peut prendre de nombreuses formes. Nous avons l'intention de travailler avec les responsables en amont pour comprendre l'aide et le support dont ils ont besoin, puis de développer des processus évolutifs pour rendre cette aide disponible.
Entre autres, Google et Microsoft ont annoncé leur participation à l'OpenSSF avec un accent particulier sur un certain nombre de domaines, y compris les schémas partagés et les métadonnées pour mieux appliquer les meilleures pratiques de sécurité; gestion des dépendances et évaluation des risques pour cartographier les vulnérabilités à des versions de code spécifiques; des outils de vérification de compilation, comme son propre Tekton; et en utilisant l'identité de développeur pour associer les modifications à leurs auteurs.
En plus de rejoindre l'OpenSSF, GitHub a confirmé son engagement en faveur de la sécurité open source et a déclaré qu'il continuerait d'investir et de créer de nouvelles fonctionnalités de sécurité gratuites pour les référentiels publics.