Фонд OpenSSF (Open Source Security Foundation) представил проект Alpha-Omega, нацеленный на повышение безопасности открытого ПО. Начальные инвестиции для развития проекта в размере 5 млн долларов и персонал для запуска инициативы предоставят компании Google и Microsoft. К участию также приглашаются другие организации, которые могут поучаствовать как через предоставление инженерных кадров, так и на уровне финансирования, что поможет расширить число открытых проектов, на которые будет распространяться инициатива. Кроме того, в конце прошлого года на работу Фонда OpenSSF было выделено 10 млн долларов, будут ли использованы данные средства для инициатива Alpha-Omega не уточняется.
Проект Alpha-Omega состоит из двух составляющих:
- Часть Alpha подразумевает проведение ручного аудита безопасности 200 широко используемых открытых проектов, наиболее популярных с позиции их использования в форме зависимостей или в элементах инфраструктуры. Работа будет вестись в сотрудничестве с сопровождающими и будет включать систематический анализ кода для выявления новых уязвимостей и их оперативного исправления.
- Часть Omega сфокусирована на проведении автоматизированного тестирования 10 тысяч наиболее популярных открытых проектов. Для проведения тестирования, усовершенствования применяемых методов, анализа результатов проверки, доведения информации до разработчиков проектов и координации совместной работы по устранению критических проблем будет создана отдельная команда инженеров. Основной задачей данной команды будет отбрасывание ложных срабатываний и выявление в автоматизированных отчётах реальных уязвимостей.
Необходимость ручного аудита на стадии Alpha обусловлена необходимостью выявления скрытых проблем, которые проблематично выявить в ходе автоматизированного тестирования. В качестве примера таких проблем упоминаются недавние критические уязвимости в Log4j, поставившие под удар инфраструктуры большого числа крупных компаний. Проекты для аудита будут отобраны с учётом рекомендаций экспертного сообщества и данных из ранее сформированных рейтингов Critically Score и Census.
Напомним, что Фонд OpenSSF создан под эгидой организации Linux Foundation и сосредоточен на работе в таких областях, как скоординированное раскрытие информации об уязвимостях, распространение исправлений, разработка инструментов для обеспечения безопасности, публикация лучших практик по безопасной организации разработки, выявление связанных с безопасностью угроз в открытом ПО, проведение работы по аудиту и усилению безопасности критически важных открытых проектов, создание средств для проверки идентичности разработчиков. OpenSSF продолжает развитие таких инициатив, как Core Infrastructure Initiative и Open Source Security Coalition, а также объединяет и другие связанные с безопасностью работы, предпринимаемые присоединившимися к проекту компаниями. В число компаний-учредителей OpenSSF входят Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk и VMware.
Mənbə: opennet.ru