Die Linux Foundation hat die Open SSF aus der Taufe gehoben. Die Open Source Security Foundation soll industrieübergreifend die Sicherheit von quelloffener Software verbessern und verschiedene Security-Organisationen unter einem Dach versammeln.
Die wohl größte Stärke der Linux Foundation ist ihre relative Unabhängigkeit gepaart mit der Fähigkeit, überwiegend neutrale Verwaltungsstrukturen für industrieübergreifende Zusammenarbeiten zu gewährleisten. Auf dieser Basis wurde nun eine neue Stiftung angekündigt. Die soll sich um die Security von Open-Source-Software kümmern und mehrere vorhandene Stiftungen und Security-Initiativen unter einem Dach vereinen.
Sicheres Dach
Wie die Open SSF in der Ankündigung richtig schreibt, verwenden immer mehr Rechenzentren, Endgeräte und Dienste Open-Source-Software. Das stellt die Security-Verantwortlichen in den Unternehmen vor Herausforderungen. Sie müssen die Sicherheit der kompletten Open-Source-Stacks und seiner Abhängigkeiten verstehen und verifizieren. Nun gibt es bislang allerdings mehrere Stiftungen und Anlaufstellen, die sich um Sicherheit in Software kümmern. Diese sollen in der Open SSF zusammenfinden.
Allen voran ist die Core Infrastructure Initiative (CII) von der Linux Foundation selbst zu nennen. Sie wurde 2014 als Antwort auf Heartbleed gegründet. Das Github Security Lab hat wiederum die Open Source Security Coalition aus der Taufe gehoben. Beide Organisationen sollen nun gemeinsam unter dem Dach der Open SSF arbeiten. Hinzu kommen Vorstandmitglieder von unter anderem Google, IBM, Microsoft, der OWASP Foundation, HackerOne und einigen mehr. Deutsche Unternehmen und Organisationen scheinen noch nicht an Bord zu sein.
Gruppenbildung
Die Open SSF soll transparent und anbieterunabhängig Entscheidungen treffen, Spezifikationen veröffentlichen und dafür mit den Projekten selbst und den existierenden Security-Communities zusammenarbeiten. Ein Governing Board (GB) überblickt die Stiftung, an ihrer Seite arbeitet ein Technical Advisory Council (TAC), das die Arbeitsgruppen und Projekte übersieht.
Verschiedene technische Initiativen sollen sich dann auf Github mit den verschiedenen Security-Aspekten auseinandersetzen. Unter der URL gibt es bereits einige Initiativen, die beispielsweise Security-Bedrohungen analysieren, sich um quelloffene Security-Tools kümmern, die Best Practices für Open-Source-Entwickler entwerfen, kritische Projekte absichern und sich um schnellere Schwachstellen-Behebungen kümmern wollen. Die Foundation selbst residiert in San Francisco und ist über ihre Webseite zu erreichen.
