“LFX stöder projekt och ger team med öppen källkod genom att göra det möjligt för dem att skriva bättre, säkrare kod, driva engagemang och utveckla hållbara mjukvaruekosystem”, säger Linux Foundation. Nu, för att möta det växande hotet från attacker från mjukvaruförsörjningskedjan, uppgraderar stiftelsen sin LFX-säkerhetsmodul för att hantera dessa attacker.
Jim Zemlin, Linux Foundations verkställande direktör, tillkännagav detta nya verktyg idag på Linux Foundation Membership Summit.
Förbättrad och gratis att använda, LFX Security gör det enklare för projekt med öppen källkod att säkra sin kod. Specifikt inkluderar LFX Security-modulen nu automatisk genomsökning efter hemligheter-i-kod och icke-inkluderande språk, vilket lägger till sina befintliga automatiska sårbarhetsdetekteringsmöjligheter. Programvarusäkerhetsföretaget BluBracket bidrar med denna funktionalitet till LFX som en del av sitt uppdrag att göra programvara säkrare och säkrare. Den här funktionen bygger på bidrag från säkerhetsföretaget Snyk för utvecklare av öppen källkod och hjälper till att göra LFX till den ledande plattformen för upptäckt av sårbarheter för communityn med öppen källkod.
LFX Security inkluderar nu:
Detektering av sårbarheter:LFX spårar hur många kända sårbarheter som har hittats i program med öppen källkod; identifierar sårbarheter som redan har åtgärdats; och rapporterar sedan om antalet korrigeringar per projekt via en intuitiv instrumentpanel. Att åtgärda kända sårbarheter med öppen källkod i projekt med öppen källkod hjälper till att rensa mjukvaruförsörjningskedjor vid källan, vilket avsevärt förbättrar kvaliteten och säkerheten för kod längre nedströms i utvecklingspipelines. Snyk tillhandahåller denna funktion för samhället och har hjälpt programvaruprojekt med öppen källkod att åtgärda nästan 12 000 kända säkerhetsbrister i sin kod.
Detektering av kodhemligheter: BluBrackets bidrag upptäcker hemligheter i koden. , såsom lösenord, autentiseringsuppgifter, nycklar och åtkomsttokens både före och efter commit. Om de lämnas orörda används dessa hemligheter av hackare för att komma in i arkiv och annan viktig kodinfrastruktur.
Icke-inkluderande språkidentifiering:BluBrackets bidrag inkluderar också möjligheten att upptäcka icke-inkluderande och stötande språk i projektkod. Detta språk, som kan ha varit accepterat i tidigare generationer, är inte längre ett skämt. Det kan stoppa användare/utvecklare från att använda koden och fungerar i slutändan som en barriär för att skapa en välkomnande och inkluderande gemenskap. BluBracket arbetade med Inclusive Naming Initiative för denna funktionalitet.
“Det är upp till oss alla att säkra vår mjukvaruförsörjningskedja, och vi är tacksamma mot Snyk och BluBracket för deras betydande bidrag till öppen källkodsgemenskapen”, sa Zemlin under medlemstoppmötet.
“Vi tror att Linux Foundations LFX Security-projekt är det absolut bästa sättet för kritiska programvaruprojekt att säkra sin kod… Vi vet att LFX Security kommer att avsevärt förbättra vår mjukvaruförsörjningskedjas säkerhet, och vi ser fram emot att arbeta med communityn för att hålla koden säker “, tillade Prakash Linga, BluBrackets grundare och VD.
LFX Security kommer att skalas ut ytterligare under 2022, vilket hjälper till att lösa utmaningar för hundratusentals kritiska öppen källkodsprojekt under Open Source Security Foundation. LFX Security är gratis och tillgänglig nu.
Relaterade berättelser:
Codenotary: Notarisera och verifiera din mjukvarulistaLinux och öppen källkod möter Bidens cybersäkerhetsutmaningLinux Foundation tillkännager ny signeringstjänst med öppen källkod Enterprise Software | Säkerhets-TV | Datahantering | CXO | Datacenter