A Open Source Security Foundation (OpenSSF) é um fórum intersetorial colaborativo com o objetivo de melhorar a segurança do software de código, onde participam GitHub, IBM, JPMorgan Chase, Microsoft, NCC Group, OWASP Foundation, Red Hat, GitLab, Intel, Okta, Purdue, Uber, WhiteSource e VMware.
Já a A segurança de software de código aberto “é a medida de garantia ou garantia na ausência de perigo e risco inerente a um sistema de software de código aberto”.
O software de código aberto difunde-se em data centers, dispositivos individuais e aplicativos. Sua proteção requer uma combinação de ferramentas automatizadas, práticas recomendadas, educação e colaboração.
No Open Source Software Security Summit II, a Linux Foundation e o OpenSSF reuniram desenvolvedores, representantes do ecossistema comercial e líderes/especialistas de agências federais dos EUA, para alcançar um consenso sobre ações de alto impacto que melhorem a resiliência e a segurança do software de código aberto.
Esse encontro identificou 10 áreas de investimento que melhorarão as boas práticas de segurança cibernética, desenvolvimento e revisões de software, treinamento e distribuição:
- educação em segurança
- avaliação de risco
- assinaturas digitais
- segurança da memória
- resposta a incidentes
- melhor digitalização
- auditorias no código
- compartilhamento de dados
- difusão de SBOM ( metadados descritivos da árvore de dependência do software)
- cadeias aprimoradas de suprimento