قدمت OpenSSF (مؤسسة أمان المصدر المفتوح) مشروع Alpha-Omega، الذي يهدف إلى تحسين أمان البرامج مفتوحة المصدر. سيتم توفير الاستثمارات الأولية لتطوير المشروع بمبلغ 5 ملايين دولار والموظفين اللازمين لإطلاق المبادرة من قبل Google وMicrosoft. ويتم تشجيع المنظمات الأخرى أيضًا على المشاركة، سواء من خلال توفير المواهب الهندسية أو على مستوى التمويل، مما سيساعد على زيادة عدد المشاريع مفتوحة المصدر التي ستغطيها المبادرة. بالإضافة إلى ذلك، في نهاية العام الماضي، تم تخصيص 10 ملايين دولار لعمل مؤسسة OpenSSF، ولم يتم تحديد ما إذا كان سيتم استخدام هذه الأموال لمبادرة Alpha-Omega.
يتكون مشروع ألفا أوميغا من عنصرين:
- يتضمن جزء من Alpha إجراء تدقيق أمني يدوي لـ 200 مشروع مفتوح المصدر مستخدم على نطاق واسع، والأكثر شيوعًا لاستخدامها في شكل تبعيات أو عناصر بنية تحتية. سيتم تنفيذ العمل بالتعاون مع المشرفين وسيتضمن تحليلًا منهجيًا للتعليمات البرمجية لتحديد نقاط الضعف الجديدة وإصلاحها بسرعة.
- يركز جزء من أوميغا على إجراء اختبار آلي لعشرة آلاف مشروع مفتوح المصدر الأكثر شيوعًا. سيتم إنشاء فريق منفصل من المهندسين لإجراء الاختبار، وتحسين الأساليب المستخدمة، وتحليل نتائج الاختبار، وتوصيل المعلومات إلى مطوري المشروع وتنسيق التعاون لحل المشكلات الحرجة. ستكون المهمة الرئيسية لهذا الفريق هي رفض النتائج الإيجابية الكاذبة وتحديد نقاط الضعف الحقيقية في التقارير الآلية.
ترجع الحاجة إلى التدقيق اليدوي في مرحلة ألفا إلى الحاجة إلى تحديد المشكلات المخفية التي يصعب تحديدها أثناء الاختبار الآلي. وكمثال على هذه المشاكل، تم ذكر نقاط الضعف الحرجة الأخيرة في Log4j، والتي عرضت البنية التحتية لعدد كبير من الشركات الكبيرة للخطر. سيتم اختيار المشاريع المراد تدقيقها مع الأخذ بعين الاعتبار توصيات مجتمع الخبراء والبيانات المستمدة من التقييمات الحرجة وتقييمات التعداد التي تم إنشاؤها مسبقًا.
نود أن نذكركم بأن مؤسسة OpenSSF قد تم إنشاؤها تحت رعاية المنظمة Linux تُركز مؤسسة OpenSSF على العمل في مجالاتٍ مثل الكشف المنسق عن الثغرات الأمنية، وتوزيع التحديثات الأمنية، وتطوير أدوات الأمان، ونشر أفضل الممارسات للتطوير الآمن، وتحديد التهديدات الأمنية في البرمجيات مفتوحة المصدر، ومراجعة وتحصين مشاريع البرمجيات مفتوحة المصدر الحيوية، وإنشاء أدوات للتحقق من هوية المطورين. وتواصل OpenSSF تطوير مبادراتٍ مثل مبادرة البنية التحتية الأساسية وتحالف أمن المصادر المفتوحة، وتُدمج أعمالًا أخرى متعلقة بالأمان تقوم بها الشركات التي انضمت إلى المشروع. ومن بين الشركات المؤسسة لـ OpenSSF: جوجل، ومايكروسوفت، وأمازون، وسيسكو، وديل تكنولوجيز، وإريكسون، وفيسبوك، وفيديليتي، وجيت هاب، وآي بي إم، وإنتل، وجيه بي مورغان تشيس، ومورغان ستانلي، وأوراكل، وريد هات، وسنيك، وفي إم وير.
المصدر: opennet.ru
