OpenChain Security Assurance (OPA) é uma concepção desenvolvida pelo projeto OpenChain e que estabelece um padrão de garantia de segurança para o uso de software de código aberto.
Essa iniciativa é parte de um esforço amplo para promover a confiança e a conformidade no uso de software livre dentro das cadeias de fornecimento de tecnologia. A proposta fornece um conjunto mínimo de requisitos que os programas de segurança devem atender para garantir a integridade e a segurança do software de código aberto utilizado pelas organizações.
Adota uma abordagem prática e orientada a processos, focando não “o que” e “por que” da segurança em software open source, sem entrar em detalhes sobre “como” implementar essas práticas. Isso proporciona facilidade para as organizações.
A proposta fornece um conjunto mínimo de requisitos que os programas de segurança devem atender para garantir a integridade e a segurança do software de código aberto utilizado pelas organizações.
Uma especificação de garantia de segurança OpenChain tem como foco principal a (1) identificação de vulnerabilidades e o (2) estabelecimento de Confiança.
No primeiro caso, o programa se concentra na verificação de software open source em busca de vulnerabilidades conhecidas, como as relacionadas no Common Vulnerabilities and Exposures (CVE) e em relatórios de vulnerabilidades do GitHub/GitLab.
No segundo, facilita a confiança entre organizações que trocam soluções de software, garantindo que os produtos entregues contenham livres de riscos conhecidos.
Existe uma série de componentes essenciais, que devem ser implementados por organizações que desejam garantir a segurança em suas operações com software de código aberto, ou seja:
a) uma política documentada que governe a segurança do software de código aberto, comunicando-a efetivamente aos participantes do programa;
b) processos bem definindos para identificar, gerenciar e mitigar vulnerabilidades identificadas no software fornecido e a ciência de todos os envolvidos - no desenvolvimento do software - de suas responsabilidades e a importância da conformidade com as políticas do programa.
As organizações podem buscar conformidade com o OPA por meio da autoavaliação ou em colaboração com parceiros oficiais. A conformidade implica atender a todos os requisitos estabelecidos e validado por meio de auditorias ou avaliações externas, demonstrando a capacidade de gerenciar vulnerabilidades de código aberto em seus portfólios de produtos.
Implementar uma Garantia de Segurança OpenChain oferece diversos benefícios para as organizações, como redução de riscos, aumento da confiança do cliente e a conformidade com as normas regulatórias relacionados à segurança cibernética.
Fonte: links no texto