“LFX understøtter projekter og styrker open source-teams ved at sætte dem i stand til at skrive bedre, mere sikker kode, fremme engagement og udvikle bæredygtige software-økosystemer,” siger Linux Foundation. For at imødegå den voksende trussel fra softwareforsyningskædeangreb opgraderer fonden nu sit LFX Security-modul til at håndtere disse angreb.
Jim Zemlin, Linux Foundations administrerende direktør, annoncerede dette nye værktøj i dag på Linux Foundation Membership Summit.
Forbedret og gratis at bruge LFX Security gør det nemmere for open source-projekter at sikre deres kode. Specifikt inkluderer LFX Security-modulet nu automatisk scanning for hemmeligheder-i-koden og ikke-inklusive sprog, hvilket tilføjer dets eksisterende automatiske sårbarhedsdetektionsfunktioner. Softwaresikkerhedsfirmaet BluBracket bidrager med denne funktionalitet til LFX som en del af sin mission om at gøre software mere sikker og sikker. Denne funktionalitet bygger på bidrag fra open source-udviklersikkerhedsfirmaet Snyk, og hjælper med at gøre LFX til den førende platform til registrering af sårbarheder for open source-fællesskabet.
LFX Security inkluderer nu:
Detektion af sårbarheder:LFX sporer, hvor mange kendte sårbarheder der er fundet i open source-programmer; identificerer sårbarheder, der allerede er blevet rettet; og rapporterer derefter om antallet af rettelser pr. projekt gennem et intuitivt dashboard. At rette kendte open source-sårbarheder i open source-projekter hjælper med at rense softwareforsyningskæder ved deres kilde, hvilket i høj grad forbedrer kvaliteten og sikkerheden af kode længere nede i udviklingspipelines. Snyk leverer denne funktionalitet til fællesskabet og har hjulpet open source-softwareprojekter med at afhjælpe næsten 12.000 kendte sikkerhedssårbarheder i deres kode.
Detektion af kodehemmeligheder: BluBrackets bidrag registrerer hemmeligheder i koden. , såsom adgangskoder, legitimationsoplysninger, nøgler og adgangstokens både før og efter commit. Uberørt, bliver disse hemmeligheder brugt af hackere til at få adgang til depoter og anden vigtig kodeinfrastruktur.
Ikke-inklusiv sprogdetektion:BluBrackets bidrag inkluderer også muligheden for at opdage ikke-inklusive og stødende sprog i projektkode. Dette sprog, som måske er blevet accepteret i tidligere generationer, er ikke længere en joke. Det kan stoppe brugere/udviklere i at bruge koden og fungerer i sidste ende som en barriere for at skabe et imødekommende og inkluderende fællesskab. BluBracket arbejdede sammen med Inclusive Naming Initiative om denne funktionalitet.
“Det er op til os alle at sikre vores softwareforsyningskæde, og vi er taknemmelige over for Snyk og BluBracket for deres betydelige bidrag til open source-fællesskabet,” sagde Zemlin under medlemstopmødet.
“Vi mener, at Linux Foundations LFX Security-projekt er den absolut bedste måde for kritiske softwareprojekter at sikre deres kode… Vi ved, at LFX Security i høj grad vil forbedre vores softwareforsyningskædes sikkerhed, og vi ser frem til at arbejde sammen med fællesskabet for at holde koden sikker ,” tilføjede Prakash Linga, BluBrackets grundlægger og administrerende direktør.
LFX Security vil blive yderligere udskaleret i 2022, hvilket hjælper med at løse udfordringer for hundredtusindvis af kritiske open source-projekter under Open Source Security Foundation. LFX Security er gratis og tilgængelig nu.
Relaterede historier:
Codenotar: Notar og verificer din softwarestyklisteLinux og open source-fællesskaber løfter Bidens cybersikkerhedsudfordringLinux Foundation annoncerer ny open source-softwaresigneringstjeneste Enterprise Software | Sikkerheds-tv | Datastyring | CXO | Datacentre