Фонд OpenSSF (Open Source Security Foundation) прадставіў праект Alpha-Omega, накіраваны на павышэнне бяспекі адкрытага ПЗ. Пачатковыя інвестыцыі для развіцця праекта ў памеры 5 млн долараў і персанал для запуску ініцыятывы дадуць кампаніі Google і Microsoft. Да ўдзелу таксама запрашаюцца іншыя арганізацыі, якія могуць паўдзельнічаць як праз прадастаўленне інжынерных кадраў, так і на ўзроўні фінансавання, што дапаможа пашырыць колькасць адкрытых праектаў, на якія будзе распаўсюджвацца ініцыятыва. Акрамя таго, у канцы мінулага года на працу Фонду OpenSSF было выдзелена 10 млн. даляраў, ці будуць выкарыстаныя дадзеныя сродкі для ініцыятыва Alpha-Omega не ўдакладняецца.
Праект Alpha-Omega складаецца з двух складнікаў:
- Частка Alpha мае на ўвазе правядзенне ручнога аўдыту бяспекі 200 шырока выкарыстоўваных адчыненых праектаў, найболей папулярных з пазіцыі іх выкарыстання ў форме залежнасцяў ці ў элементах інфраструктуры. Праца будзе весціся ў супрацоўніцтве з суправаджаючымі і будзе ўключаць сістэматычны аналіз кода для выяўлення новых уразлівасцяў і іх аператыўнага выпраўлення.
- Частка Omega сфакусаваная на правядзенні аўтаматызаванага тэсціравання 10 тысяч найбольш папулярных адкрытых праектаў. Для правядзення тэсціравання, удасканалення прымяняемых метадаў, аналізу вынікаў праверкі, давядзення інфармацыі да распрацоўшчыкаў праектаў і каардынацыі сумеснай работы па ўстараненню крытычных праблем будзе створана асобная каманда інжынераў. Асноўнай задачай дадзенай каманды будзе адкідванне ілжывых спрацоўванняў і выяўленне ў аўтаматызаваных справаздачах рэальных уразлівасцяў.
Неабходнасць ручнога аўдыту на стадыі Alpha абумоўлена неабходнасцю выяўлення схаваных праблем, якія праблематычна выявіць падчас аўтаматызаванага тэсціравання. У якасці прыкладу такіх праблем згадваюцца нядаўнія крытычныя ўразлівасці ў Log4j, якія паставілі пад удар інфраструктуры вялікай колькасці буйных кампаній. Праекты для аўдыту будуць адабраны з улікам рэкамендацый экспертнай супольнасці і даных з раней сфарміраваных рэйтынгаў Critically Score і Census.
Нагадаем, што Фонд OpenSSF створаны пад эгідай арганізацыі Linux Foundation і засяроджаны на працы ў такіх галінах, як скаардынаванае расчыненне інфармацыі аб уразлівасцях, распаўсюджванне выпраўленняў, распрацоўка прылад для забеспячэння бяспекі, публікацыя лепшых практык па бяспечнай арганізацыі распрацоўкі, выяўленне злучаных з бяспекай пагроз у адчыненым ПЗ, правядзенне работы па аўдыту і ўзмацненню бяспекі крытычна важных адкрытых праектаў, стварэнне сродкаў для праверкі ідэнтычнасці распрацоўшчыкаў. OpenSSF працягвае развіццё такіх ініцыятыў, як Core Infrastructure Initiative і Open Source Security Coalition, а таксама аб'ядноўвае і іншыя звязаныя з бяспекай працы, якія прадпрымаюцца далучыліся да праекту кампаніямі. У лік кампаній-заснавальнікаў OpenSSF уваходзяць Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk і VMware.
Крыніца: opennet.ru