Сирена OpenSSF предупреждает об уязвимостях OSS

Siren - это новый список рассылки от OpenSSF, целью которого является мониторинг угроз, связанных с уязвимостями проектов с открытым исходным кодом, с целью предоставления оповещений в режиме реального времени всем подписавшимся.

Это еще одна ступенька в продолжающейся кампании OpenSSF за разумную безопасность программного обеспечения. Этот список рассылки адресован буквально всем желающим; как мы описывали в статье "The State Of Secure Software Development - Three OpenSSF Courses".

В наши дни каждая компания - это дом программного обеспечения, независимо от того, в каком бизнесе она работает, будь то финансы, производство или здравоохранение. Для того чтобы предоставлять услуги, компаниям приходится взаимодействовать с помощью программных приложений, созданных собственными силами или с привлечением сторонних организаций.

Проблема в том, что киберзлоумышленники атакуют эти приложения, пытаясь найти в них уязвимости, чтобы воспользоваться ими и получить доступ к вашим внутренним сетям, украсть данные компании и клиентов или просто устроить хаос.

Поскольку вся индустрия в значительной степени полагается на программное обеспечение с открытым исходным кодом, на котором основано все - от современных серверов, IoT до рабочих столов, - оповещения о 0-днях в реальном времени будут как нельзя кстати.

Возьмем, к примеру, библиотеку OpenSSL, которая действительно является краеугольным камнем современных интернет-коммуникаций, и поэтому ошибки в ней, такие как печально известная HeartBleed, ставят под угрозу саму ткань общества. Разве не было бы разумно, чтобы обнаружение ошибки как можно скорее распространилось по информационным магистралям?

Проблема в том, что, несмотря на то, что некоторые предприятия создают структуры по обмену информацией, это не всегда распространяется на сообщество разработчиков открытого кода, поэтому должны существовать средства, позволяющие эффективно передавать информацию об эксплойтах более широкой аудитории.

Но если говорить об оповещениях, то Siren также призван стать средством информирования сообщества об угрозах и действиях после первоначального обмена и координации. В связи с этим ее ключевые особенности включают:

• Информация об угрозах из открытых источников: сообщество делится информацией об активно используемых уязвимостях и угрозах.
• Обновления в режиме реального времени: Участники списка получают по электронной почте уведомления о возникающих угрозах, которые могут иметь отношение к их проектам, что позволяет оперативно принимать меры по снижению рисков.
• Эффективная неограниченная прозрачная коммуникация; список следует протоколу Traffic Light Protocol (TLP), четкому руководству по обмену и обработке разведданных.
• Ориентирован на сообщество: Участники, представляющие различные слои общества, сотрудничают в пополнении базы данных разведданных, способствуя формированию культуры общей ответственности и коллективной защиты.

Так что регистрируйтесь бесплатно, чтобы быть в курсе событий, сотрудничать и делиться своим опытом.
Сделав эту простую вещь, вы тоже внесете свой вклад в защиту программного обеспечения.