Организация Linux Foundation объявила о формировании нового совместного проекта OpenSSF (Open Source Security Foundation), призванного объединить работу ведущих представителей индустрии в области повышения безопасности открытого ПО.  OpenSSF продолжит развитие таких инициатив, как  Infrastructure Initiative и Open Source Security Coalition, а также объединит и другие связанные с безопасностью работы, предпринимаемые участниками проекта...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=53482

• Учреждён фонд OpenSSF, сфокусированный на повышении безопасн...,Укуренный, 23:47 , 03-Авг-20
  • Учреждён фонд OpenSSF, сфокусированный на повышении безопасн...,Аноним, 00:06 , 04-Авг-20
    • Учреждён фонд OpenSSF, сфокусированный на повышении безопасн...,asdasd, 00:18 , 04-Авг-20
    • Учреждён фонд OpenSSF, сфокусированный на повышении безопасн...,anon2, 01:32 , 04-Авг-20
      • Учреждён фонд OpenSSF, сфокусированный на повышении безопасн...,Анонимуз, 02:49 , 04-Авг-20
        • Учреждён фонд OpenSSF, сфокусированный на повышении безопасн...,Аноним, 06:36 , 04-Авг-20
          • Учреждён фонд OpenSSF, сфокусированный на повышении безопасн...,ss, 08:01 , 04-Авг-20
          • Учреждён фонд OpenSSF, сфокусированный на повышении безопасн...,Аноним, 17:55 , 05-Авг-20
  • Учреждён фонд OpenSSF, сфокусированный на повышении безопасн...,Аноним, 17:52 , 04-Авг-20
• Учреждён фонд OpenSSF, сфокусированный на повышении безопасн...,Minona, 23:48 , 03-Авг-20
  • Учреждён фонд OpenSSF, сфокусированный на повышении безопасн...,Аноним, 00:15 , 04-Авг-20
    • Учреждён фонд OpenSSF, сфокусированный на повышении безопасн...,пох., 00:31 , 04-Авг-20
    • Учреждён фонд OpenSSF, сфокусированный на повышении безопасн...,Мастеррецензент из компании в колабасасе, 11:45 , 04-Авг-20
• Учреждён проект OpenSSF, сфокусированный на повышении безопа...,Аноним, 00:29 , 04-Авг-20
  • Учреждён проект OpenSSF, сфокусированный на повышении безопа...,пох., 00:33 , 04-Авг-20
    • Учреждён проект OpenSSF, сфокусированный на повышении безопа...,ss, 07:57 , 04-Авг-20
      • Учреждён проект OpenSSF, сфокусированный на повышении безопа...,пох., 09:30 , 04-Авг-20
        • Учреждён проект OpenSSF, сфокусированный на повышении безопа...,ss, 10:14 , 04-Авг-20
  • Учреждён проект OpenSSF, сфокусированный на повышении безопа...,Аноним, 01:33 , 04-Авг-20
    • Учреждён проект OpenSSF, сфокусированный на повышении безопа...,Аноним, 03:40 , 04-Авг-20
      • Учреждён проект OpenSSF, сфокусированный на повышении безопа...,Аноним, 06:24 , 04-Авг-20
        • Учреждён проект OpenSSF, сфокусированный на повышении безопа...,ss, 08:04 , 04-Авг-20
        • Учреждён проект OpenSSF, сфокусированный на повышении безопа...,Hdjzh, 15:47 , 04-Авг-20
• Учреждён проект OpenSSF, сфокусированный на повышении безопа...,Аноним, 00:38 , 04-Авг-20
  • Учреждён проект OpenSSF, сфокусированный на повышении безопа...,Аноним, 08:07 , 04-Авг-20
    • Учреждён проект OpenSSF, сфокусированный на повышении безопа...,Сейд, 08:42 , 04-Авг-20
      • Учреждён проект OpenSSF, сфокусированный на повышении безопа...,Анорим, 09:50 , 04-Авг-20
        • Учреждён проект OpenSSF, сфокусированный на повышении безопа...,Аноним84701, 15:32 , 04-Авг-20
  • Учреждён проект OpenSSF, сфокусированный на повышении безопа...,Аноним, 11:19 , 04-Авг-20
• Учреждён проект OpenSSF, сфокусированный на повышении безопа...,Аноним, 01:31 , 04-Авг-20
  • Учреждён проект OpenSSF, сфокусированный на повышении безопа...,Аноним, 02:37 , 04-Авг-20
• Учреждён проект OpenSSF, сфокусированный на повышении безопа...,б.б., 04:00 , 04-Авг-20
  • Учреждён проект OpenSSF, сфокусированный на повышении безопа...,Аноним, 04:12 , 04-Авг-20
  • Учреждён проект OpenSSF, сфокусированный на повышении безопа...,ss, 08:11 , 04-Авг-20
    • Учреждён проект OpenSSF, сфокусированный на повышении безопа...,б.б., 08:14 , 04-Авг-20
      • Учреждён проект OpenSSF, сфокусированный на повышении безопа...,ss, 08:16 , 04-Авг-20
• Учреждён проект OpenSSF, сфокусированный на повышении безопа...,Ананоним, 08:04 , 04-Авг-20
  • Учреждён проект OpenSSF, сфокусированный на повышении безопа...,ss, 08:05 , 04-Авг-20
    • Учреждён проект OpenSSF, сфокусированный на повышении безопа...,Аноним, 08:10 , 04-Авг-20
      • Учреждён проект OpenSSF, сфокусированный на повышении безопа...,ss, 08:14 , 04-Авг-20
    • Учреждён проект OpenSSF, сфокусированный на повышении безопа...,Ананоним, 08:16 , 04-Авг-20
      • Учреждён проект OpenSSF, сфокусированный на повышении безопа...,ss, 08:19 , 04-Авг-20
• Учреждён проект OpenSSF, сфокусированный на повышении безопа...,Fracta1L, 08:35 , 04-Авг-20
  • Учреждён проект OpenSSF, сфокусированный на повышении безопа...,Аноним, 08:41 , 04-Авг-20
• Учреждён проект OpenSSF, сфокусированный на повышении безопа...,Аноним, 08:58 , 04-Авг-20
• Учреждён проект OpenSSF, сфокусированный на повышении безопа...,Аноним, 09:01 , 04-Авг-20
  • Учреждён проект OpenSSF, сфокусированный на повышении безопа...,ss, 09:05 , 04-Авг-20
    • Учреждён проект OpenSSF, сфокусированный на повышении безопа...,Аноним, 09:31 , 04-Авг-20
      • Учреждён проект OpenSSF, сфокусированный на повышении безопа...,ss, 10:00 , 04-Авг-20
        • Учреждён проект OpenSSF, сфокусированный на повышении безопа...,Аноним, 23:18 , 04-Авг-20
• Учреждён проект OpenSSF, сфокусированный на повышении безопа...,Аноним, 09:08 , 04-Авг-20
• Учреждён проект OpenSSF, сфокусированный на повышении безопа...,YetAnotherOnanym, 09:41 , 04-Авг-20
  • Учреждён проект OpenSSF, сфокусированный на повышении безопа...,ss, 10:13 , 04-Авг-20
    • Учреждён проект OpenSSF, сфокусированный на повышении безопа...,Аноним, 11:11 , 04-Авг-20
  • Учреждён проект OpenSSF, сфокусированный на повышении безопа...,ZOGmaster, 16:59 , 05-Авг-20
• Учреждён проект OpenSSF, сфокусированный на повышении безопа...,Аноним, 10:07 , 04-Авг-20
• Учреждён проект OpenSSF, сфокусированный на повышении безопа...,Аноним, 11:59 , 04-Авг-20
  • Учреждён проект OpenSSF, сфокусированный на повышении безопа...,Аноним, 23:17 , 04-Авг-20
• Учреждён проект OpenSSF, сфокусированный на повышении безопа...,InuYasha, 12:26 , 04-Авг-20
• Учреждён проект OpenSSF, сфокусированный на повышении безопа...,Аноним, 14:28 , 04-Авг-20
• Учреждён проект OpenSSF, сфокусированный на повышении безопа...,Аноним, 17:44 , 04-Авг-20
  • Учреждён проект OpenSSF, сфокусированный на повышении безопа...,Аноним, 17:57 , 04-Авг-20
  • Учреждён проект OpenSSF, сфокусированный на повышении безопа...,Аноним, 18:02 , 04-Авг-20
• Учреждён проект OpenSSF, сфокусированный на повышении безопа...,Аноним, 17:50 , 04-Авг-20
  • Учреждён проект OpenSSF, сфокусированный на повышении безопа...,Аноним, 17:51 , 04-Авг-20
    • Учреждён проект OpenSSF, сфокусированный на повышении безопа...,Аноним, 20:44 , 04-Авг-20
    • Учреждён проект OpenSSF, сфокусированный на повышении безопа...,Аноним, 06:38 , 05-Авг-20
• Учреждён проект OpenSSF, сфокусированный на повышении безопа...,Аноним, 15:40 , 05-Авг-20
  • Учреждён проект OpenSSF, сфокусированный на повышении безопа...,Аноним, 17:40 , 05-Авг-20
• Учреждён проект OpenSSF, сфокусированный на повышении безопа...,Firecat, 18:55 , 05-Авг-20

Уууу, теперь анонимам нельзя будет коммитить libc, а я так хотел туда майнер встроить.

В libc и так нельзя было коммитить не только не анонимам, но еще и тем кто не готов отказываться полностью от авторских прав на код в пользу FSF https://www.gnu.org/licenses/why-assign.en.html

Вы говорите не про libc, а про glibc.

Враньё. FSF просит передачу ей только имущественных прав на код. Неимущественные авторские права остаются у автора. Например, право признаваться автором кода.

Авторство неотчуждаемо.

Только в рамках принятого западного права, и тем где оно распространяется.

Причем тут "западного"? С СССР оно тоже было неотчуждаемым. Вы так тролите или просто западнофил?

Россияне эти законы тоже протолкали, в том же виде, копирасы очень уж лоббировали.

Это сладкое слово свобода.

>создание средств для проверки идентичности разработчиков.

Однако

всех под колпак корпораций

да там пол-документа как раз и посвящено вопросу "а вдруг Вася все еще Вася, но уже НЕ работает на rbm?!"

а кто сказал, что в спо можно впатчить чего угодно? "This has been going on for *years*, and doesn't seem to be getting any better." "I'm f*cking tired of the fact that you don't fix problems in thecode *you* write"

Это зачем идентифицировать разработчиков? Типа если heartbleed, то чтобы прийти к нему с паяльником и спросить за всё? Тогда поговорка "пишите код так, как если бы его проверял помешанный маньяк-психопат, знающий ваш адрес" станет ближе к истине

Наоборот же - если там нет heartbleed - придти к нему с пакетиком с непонятным порошком и флэшкой с cp, и вежливо попросить добавить.

Это может произойти и с самим Линусом... Хоть обидентифицируйся, а если нашли чем заинтересовать - то все эти идентификации только на руку злоумышленнику.

> Это может произойти и с самим Линусом...

это слишком публичная фигура - с ним этот фокус может внезапно дорого обойтись самим фокусникам.

А вот о большинстве остальных, указанных в credits - неизвестно ничего, кроме мэйла и того имени, которым они себя сами назвали. Теперь еще и фотки разворота паспорта, трудами циско и rbm. Остальные данные радостно продаст пейсбук, или их сопрут бесплатно у какого-нибудь твитера.

А там и чем "заинтересовать" найдется (не каждого, но и нужно-то небольшое количество). Вот у товарищмайора, к примеру, паяльник есть интересный - хошь поближе познакомиться?

>это слишком публичная фигура - с ним этот фокус может внезапно дорого обойтись самим фокусникам.

Это будет разоблачение века :)

https://arstechnica.com/information-technology/2018/11/hacke.../
Вот, например, анонимный помощник постарался

А идентификация спасёт от упущений при ревью?

Есть с кого спросить хотя бы. Т нельзя рассуждать как "мы просто не должны совершать ошибок".

Ну спросили и что??
"А он плюнет в глаза и скажет что видит его первый раз в жизни" (с) МВИН

Поиск виноватых ничем не лучше. Плюс хакеры, желающие насолить, могут или украсть личность, или сделать фейковую и с неё закоммитить

>создание средств для проверки идентичности разработчиков.

Анонимус не забывает что стало в разрабом Adamantix.

А что случилось?

Попала в тюрьму за вождение без прав.

Это где же вождение без "прав" - уголовка? В России - административка.

> Это где же вождение без "прав" - уголовка?

За повторный "DUI" (driving under influence)?
Да много где:

https://www.french-property.com/guides/france/driving-in-fra...
> Driving under influence of drugs/Failing to co-operate with preliminary test    2 years     €4,500    
> Driving without a licence    1 year    €15,000    -    -

https://dejure.org/gesetze/StVG/21.html
> наказываются лишением свободы на срок до одного года или денежным штрафом ...

(причем, без всяких DUI, да еще и для владельца транспорта, допустившего к управлению такое лицо)
-
-
> В России - административка.

https://shtrafy-gibdd.ru/articles/ezda-bez-prav-posle-lishen...
> Штраф ГИБДД за езду пьяным после лишения прав за пьяную езду в 2020 году составляет
> 200 000 - 300 000 р. либо тюрьма до 2 лет
> Статья 264.1 УК РФ
>

Хотелось бы, чтоб не забывчивый анон напомнил забывчивому - что там случилось?

>Поэтому для подтверждения безопасности открытых проектов важна верификация не только основного кода, но и зависимостей

Что такое "верификация зависимостей"? Они ведь не формальную верификацию в виду имеют.

>а также идентификация разработчиков

Себя пусть идентифицируют.

>  Они ведь не формальную верификацию в виду имеют.

Жаль если нет (99% процентов что нет)

Но вообще мысль правильная в том смысле, что зависимости тоже надо шерстить. Да и вообще - всякая зависимость есть угроза, особенно если её разработка ведётся не тобой

25 лет назад учреждён проект OpenBSD, сфокусированный на повышении безопасности открытого ПО

В число учредителей OpenBSD НЕ вошли такие компании, как GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, OWASP Foundation и Red Hat. В качестве участников НЕ присоединились компании GitLab, HackerOne, Intel, Uber, VMware, ElevenPaths, Okta, Purdue, SAFECode, StackHawk и Trail of Bits.

OpenBSD на самом деле появился тупо потому, что де Раадта выгнали из всех других мест. И уж только потом из-за безопасности

Все что надо знать об "безопасности" OpenBSD:

"OpenBSD no longer uses the term "vulnerability" when referring to bugs that lead to a remote denial of service attack, as opposed to bugs that lead to remote control of vulnerable systems to avoid oversimplifying ("pablumfication") the use of the term. "

Главное правильно подобрать интерпретацию термина :)

а о безопасности OpenSSF что нужно знать?

Что вам теперь некуда бежать :)

Я не понял, это "пчёлы против мёда" шоле? О как!

Как раз безопасность для корпораций -это мед за который все эти пчелы очень ратуют...

На этом можно неплохо обогатиться ничего не делая:)

Неплохо обогатиться ничего не делая можно более простыми способами. А они делают и весьма много. Правда порой весьма спорные вещи.

"Мы все делаем для вашего блага" (с) Менеджер гугл

И как же они после будут отухлять старые, конкурирующие с новыми-модными-молодёжными, выпуски ПО? А разработчики шо, на улицу захотели? Если будут создавать неуязвимое ПО, их же на мороз выпнут. Во дела...

выйдет новый процессор, на котором ваше старое ПО просто не запустится...
найдут случайно затесавшийся баг... (с частотой 1/365 релиза)
возникнет новый хайп...

ой.. вы такие наивности говорите..

"Постоянная работа над ошибками доводит их до совершенства" (с)

Что планируют делать с сишными дыренями?

Повышать их безопасность

Чипизация же!

Это все пустое. "Преступность победить нельзя."

Можно. И генерал Ле Вин это доказал практически.

Хм... Только один? У других не вышло?

Другие просто не хотели

Хотели-хотели. Но не шмогли. И теперь ноют, что их шпилят во все дыры.

> В число учредителей OpenSSF вошли такие компании, как GitHub, Google, IBM, JPMorgan Chase, Microsoft

Ясно, очередная диверсия против СПО.

> JPMorgan Chase

Эти-то чего там забыли?

Защищают свои интересы естественно :)

Вас же не удивляет что весьма крупный в россии вычислительный кластер построил сбербанк?

Удивляет что не Роснефть или Газпром, но там совсем другие видать интересы.

Не тrогайте наших агентов, меrзкие гои!

>создание средств для проверки идентичности разработчиков.

спасибо, не нужно

Все с анонимностью борятся

Читать надо между строк. Главное слово гендерной.
Всяк хочет анонимом остаться. Но ответ держать придётся.

>>В число учредителей OpenSSF вошли такие компании, как

(0_0) Прямо список корпораций зла! (кстати, спасибо за него)

>Организация Linux Foundation объявила о формировании нового совместного проекта

Началось... когда эти корпорасы что-то там объявляют я начинаюсь тревожится, что-то они там задумали пртив Свободы, GNU и FSF.

> Среди угроз, вызванных отсутствием идентификации разработчиков

Вот похерил товарищ майор gnupg: https://www.opennet.dev/openforum/vsluhforumID3/117882.html#4 а теперь локти кусают.

Проводил исследование использования подписи PGP в открытых проектах:

Очень хороший, образцовый, пример организации проверки аутентичности и целостности кода: https://www.altlinux.org/Работа_с_ключами_разработчика прям гордость за наших! http://git.altlinux.org/gears/a/alt-gpgkeys.git?p=alt-gpgkey...

Кроме ALT Linux можно отметить отличной оценкой: archlinux.org, archlabslinux.com, debian.org, kali.org, puri.sm, qubes-os.org.

Хорошо стараются: freebsd.org, gentoo.org.

Еще ~40 дистров с первых 100 с distrowatch.org можно отметить как удовлетворительно, хотя бы образ ISO свой подписывают.

Остальные ~50% с первых 100 с distrowatch.org даже свой образ ISO не подписывают!

Ситуация с сорцами вообще плохая:
Исследовано ~ 1500 проектов
Подписано ~ 20%
Подписано двумя или более < 1%
Изменились подписи мейнтейнеров, без крос подписи ~ 20 проектов (люди в глаза друг другу не смотрели, лично не встречались, а проект отдали в другие руки).
Не выложили нигде свой публичный ключ ~ 5 пакетов.
Подписанный сабключом без крос подписи первичного ключа - 1 проект.

> Подписанный сабключом без крос подписи первичного ключа - 1 проект.

Так и я могу любой, подписанный кем-то, файл "подписать". Это документирования фича OpenPGP.

> создание средств для проверки идентичности разработчиков.

Верните SKS и pgp как было.

Откатите gnupg до версии 2.2.16 и поставте в ней количество подписей на ключ такое же как на серверах SKS!

Открытое безопасным быть не может. По определению.
Зачётно сказано!

Ты не знаешь силы математики.

О да! Силы маркетинга великая вещь!

Во славу Пифагора!

Слегка дурновато пахнущая инициатива

Было такое: "I'm not anti-vendor, I've built several of them and currently own one. But I think that vendor-domination of Open Source inevitably dilutes the rights of everyone else. With its increasing participation in Open Source, there's even a chance that Microsoft could be offered an OSI board seat." (B.Perens, 2008)
А потом такое: "The current Data Curators are: Lanx Goh, Eric Lachaud, and Alex Li on behalf of Microsoft" "The current Code Committers are: Benjamin Wong, Jieying Chng, and Alex Li on behalf of Microsoft"
И даже такое: "The data leak was first reports on May 6 by experts at the data breach monitoring Under the Breach, a hacker claimed to have obtained 500 GB of source code from Microsoft’s private GitHub repositories."

Интересно, они планируют все дистрибутивы проверять на безопасность?