Editora do Ubuntu, Samsung e Huawei juntam-se a uma importante iniciativa de segurança de código aberto

A segurança sempre foi de extrema importância para todo o ecossistema de código aberto.
Eric S. Raymond, um dos luminares do movimento de código aberto, em seu famoso ensaio, Cathedral and the Bazaar, escreveu “com olhos suficientes, todos os insetos são superficiais”. Embora ainda seja verdade, a complexidade do software e o número crescente de colaboradores colocam um ônus cada vez maior sobre os olhos que procuram vulnerabilidades.
Além de políticas de segurança bem definidas em nível de projeto, praticamente todas as principais organizações que contribuem com software de código-fonte aberto têm suas próprias iniciativas de segurança.
Push de segurança
Em um esforço para consolidar os vários esforços independentes, a Linux Foundation anunciou o Open Source Security Foundation (OpenSSF) em agosto de 2020.
Esta não é a primeira tentativa da Linux Foundation de consolidar os esforços de segurança. Em 2014, ele orientou vários grupos para uma resposta coordenada ao bug Heartbleed sob o Iniciativa de infraestrutura básica (CII).
O OpenSSF, entretanto, tem um grande mérito e um escopo muito mais amplo. Inclui o CII e também cordas em Coalizão de segurança de código aberto do GitHub e os combina com a experiência em segurança de vários colaboradores de código aberto da indústria, incluindo Google, Microsoft, Red Hat, VMware e outros.
A fundação anunciou que um total de 16 novos colaboradores se juntaram aos membros fundadores hoje, incluindo Canonical, Facebook, Samsung, Huawei Technologies e mais.
“É nossa responsabilidade coletiva melhorar constantemente a segurança do ecossistema de código aberto, e estamos entusiasmados em ingressar na Open Source Security Foundation”, disse Lech Sandecki, gerente de produto de segurança da Canonical, que também foi indiciado para o conselho administrativo da iniciativa.
Lech destacou que a distribuição do Ubuntu já tem uma versão de suporte de longo prazo que fornece atualizações de segurança por até 10 anos, acrescentando: “Compartilhando nosso conhecimento e experiência com a comunidade OSFF, juntos podemos tornar todo o código aberto mais seguro . ”
Aprendizagem segura
Um dos princípios básicos da iniciativa é educar os desenvolvedores para criar software que seja mais seguro e resistente a vulnerabilidades.
Para colocar esse objetivo em prática, o OpenSSF lançou hoje três cursos gratuitos sobre como desenvolver software seguro.
De acordo com a base, os três cursos equipam os desenvolvedores de software (incluindo profissionais de DevOps, engenheiros de software e desenvolvedores de aplicativos da web) com as habilidades necessárias exigidas não apenas para desenvolver software seguro, mas também para reduzir os danos e reduzir o tempo que leva para responder às vulnerabilidades recém-descobertas.
O programa de treinamento OpenSSF também inclui um programa de certificação profissional. Os cursos serão ministrados por meio da plataforma de aprendizado edX, uma plataforma de aprendizado online sem fins lucrativos fundada por Harvard e MIT.
Embora você possa se inscrever para o curso e o certificado a partir de hoje, o conteúdo e o teste para a certificação estarão disponíveis em 5 de novembro.