Open Source Security Foundation will öffentliches Gut schützen

Die Linux Foundation hat die OpenSSF gegründet. Die anbieterneutrale neue Stiftung holt auch große Firmen wie Google und Microsoft ins Boot.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 5 Beiträge

(Bild: Bonnie Fink / Shutterstock.com)

Von
  • Silke Hahn

Die Linux Foundation hat eine neue Zusammenarbeit mit der Bezeichnung Open Source Security Foundation (OpenSSF) gegründet, die unternehmens- und branchenübergreifend die Sicherheit von Open Source Software (OSS) verbessern soll. Ziel laut Ankündigung im Blog der Linux Foundation ist das Entwickeln von Best Practices der IT-Sicherheit für quelloffene Software.

Die neue Stiftung soll die bisherigen Ansätze der Core Infrastructure Initiative (CII) und der von GitHub 2019 gegründeten Open Source Security Coalition sowie weiterer Einzelinitiativen vereinen und unter einem gemeinsamen Dach fortführen. Zu den Gründungsmitgliedern gehören unter anderem GitHub, Google, IBM, JPMorgan Chase, Microsoft, die NCC Group, die OWASP Foundation und Red Hat. Weitere Unterstützer sind zum Beispiel GitLab, HackerOne, Uber und VMware.

Hintergrund ist der zunehmende Anteil von Open-Source-Techniken in Rechenzentren, Endnutzergeräten und Diensten, der zu einer Kette von Beiträgern und Abhängigkeiten führt. Die Sicherheitsbeauftragten eines Unternehmens oder einer Organisation benötigen laut Linux Foundation Möglichkeiten, die Sicherheit dieser Abhängigkeitsketten zu verstehen und zu überprüfen. Diesen Bedarf soll nun die OpenSSF decken.

"Open Source ist ein öffentliches Gut", erläutert der Executive Director der Linux Foundation die Neugründung. Die OpenSSF sei als Forum für gemeinschaftliche, branchenübergreifende Bemühungen gedacht. 2014 hatte die Linux Foundation die CII als Antwort auf den Heartbleed-Bug gegründet, die OpenSSF soll nun die wichtigsten Open-Source-Security-Initiativen und die dahinter stehenden Entwickler und Unternehmen zusammenführen. Open Governance lautet die Devise: Die technische Community sowie die Entscheidungen sollen transparent sein, und künftige Spezifikationen und Projekte haben die Vorgabe der Herstellerneutralität.

Weiterführende Hinweise lassen sich der Ankündigung im Blog der Linux Foundation entnehmen. Die OpenSSF verfügt bereits über eine eigene Internetpräsenz, wo Interessierte sich vertiefend informieren können.

(sih)