Linux Foundation
Grundläggande Infrastruktur Initiativ projekt på tisdagen meddelade en gratis bricka program för att bidra till att främja säkerhet, kvalitet och stabilitet i öppen källkod-projekt.
Genom en online-app, CII låter devs avgöra om de är i enlighet med bästa praxis, i allmänhet inom en timme eller så.
Om de är, de kommer att ta emot märket, som de kan visa på GitHub och andra online-egenskaper.
Den pågående utvecklingen av appen och dess kriterier är ett open source-projekt som devs kan bidra med.
Curl, GitLab, Linux-Kärnan och OpenSSL är bland de projekt som redan har fått badge.
Omfattar OpenSSL
Ersättning för märket omfattar nu en utvärdering av OpenSSL, den programvara som används av open source Web-servrar såsom Nginx och Apache, som är värd mer än 60 procent av världens webbplatser.
Att en utbredd användning gjorts hundratals av tusentals webbplatser utsatta för Heartbleed
OpenSSL-brist, och många stora sevärdheter, inklusive Yahoo, var kvar klättra för en fix.
Fel, upptäckte April 2014, till följd av ett mindre fel i programmeringen görs av en Ph D. student. Det följdes av en annan brist i juli 2015.
De sårbarheter som var en följd av brist på finansiering och den lilla storleken av OpenSSL-team, enligt OpenSSL Foundation ordförande Steve Markis.
Men “all programvara som har säkerhetsrelaterade frågor”, konstaterade Josh Bressers, säkerhet strateg på Red Hat.
Användning av OpenSSL i webbplatser
har varit trend stadigt nedåt sedan 2015.
Innan Hjärtat slog, OpenSSL träffade bara ungefär en tredjedel av CII Bästa Praxis Badge kriterier, enligt the Linux Foundation, men nu slår ett perfekt 100 procent.
Badge Påverkan
Märket är ett sätt att känna igen det som är så otroligt viktigt bidrag open source-programmerare gör att gemenskapen, observerade Red hats Bressers.
“Det bör åtminstone generera kunskap som kan tillämpas i framtiden”, sade han LinuxInsider.
“En God Hushållning seal ” är en bra analogi”, konstaterade Chenxi Wang, som är chief strategy officer på
Twistlock.
“Det spelar inte riktigt säga “sårbarhet fri”, men det ger en allmän känsla av förtroende och garantier för att programvaran har åtminstone gått igenom några vanliga kontroller och praxis garantier,” sade hon till LinuxInsider.
Problem Med Open Source
“Jag misstänker att öppen källkod är inte bättre eller sämre än [proprietär programvara i form av säkerhetsbrister,” Wang föreslås. “Vi höra mer om open source brister, eftersom de tenderar att vara offentliga i form av utlämnande av säkerhetsproblem.”
Problemet med öppen källkod är att det har ingen standard att säkerhetsnivåer för att testa, konstaterade Holger Müller, förste analytiker på Constellation Research.
Badge-processen “är ett mycket bra första steg för att få flera initiativ för öppen källkod att börja anta vissa grundläggande och vissa avancerade och protokollen för säkerhet”, sade han LinuxInsider.
Att det för närvarande inte finns några sätt att mäta ett open source-projekt objektivt, Red Hat Bressers påpekade. “Om detta projekt lyckas skapa ett samhälle där vi kan exakt och lätt att förstå den nivå av säkerhet som är av ett visst projekt, som skulle vara goda nyheter för alla, särskilt de projekt som lägger kraft på att tjäna ett positivt betyg.”
En av de stora utmaningarna för öppen källkod idag är “att kunna förstå och kontrollera värdekedjan i din utveckling och beroenden,” förklarade han. “Perfekt, [badge projekt] som kommer att hjälpa till med det.”
Den standard som fastställts för beviljande av märket är rimligt, så att “det kommer snabbt att bli begärd av öppen källkod konsumenter,” Stjärnbilden är Mueller förutspådde. “Vi borde inte bli förvånade över att se utbredd.”
Även om det är för tidigt att säga om det kan komma att bli en de facto-standard, stort intresse och stöd av flera projekt “är ett gott tecken”, sade han.
Att Arbeta Tillsammans
Standarder krig upprepade gånger har brutit ut i den egenutvecklade programvaran området, och om standarder rivalitet var att växa fram för öppen källkod, som skulle vara dåligt, Mueller funderade.
I allmänhet, dock med säkerhet har arbetat bra tillsammans, konstaterade han. I stället för att konkurrera, har forskare lager ovanpå varandra och komplettera varandra i arbetet.
“I ännu mer collaborative open source ekosystemet”, säger Mueller, “jag skulle bli förvånad att se en annan approach.”
Richard Adhikari har skrivit om high-tech för ledande publikationer i industrin sedan 1990-talet och undrar om det hela leder till. Kommer inopererade RFID-chip i människor vara Vilddjurets Märke? Kommer nanotekniken att lösa våra kommande livsmedelskris? Gör Sturgeons Lag håller fortfarande sant? Du kan ansluta med Richard på
Google+.