🥇Инициатива Алфа-Омега, насочена към подобряване на сигурността на 10 хиляди отворени проекта

OpenSSF (Фондация за сигурност с отворен код) представи проекта Alpha-Omega, насочен към подобряване на сигурността на софтуера с отворен код. Първоначалните инвестиции за развитието на проекта в размер на $5 милиона и персонал за стартиране на инициативата ще бъдат осигурени от Google и Microsoft. Други организации също се насърчават да участват, както чрез предоставяне на инженерни таланти, така и на ниво финансиране, което ще помогне за разширяване на броя на проектите с отворен код, които ще бъдат обхванати от инициативата. Освен това в края на миналата година бяха отпуснати 10 милиона долара за работата на OpenSSF Foundation, дали тези средства ще бъдат използвани за инициативата Alpha-Omega, не е уточнено.

Проектът Алфа-Омега се състои от два компонента:

Част от Alpha включва провеждане на ръчен одит на сигурността на 200 широко използвани проекта с отворен код, най-популярни за използването им под формата на зависимости или инфраструктурни елементи. Работата ще се извършва в сътрудничество с поддържащите и ще включва систематичен анализ на кода за идентифициране на нови уязвимости и бързото им отстраняване.
Част от Omega е фокусирана върху провеждането на автоматизирано тестване на 10 хиляди най-популярни проекта с отворен код. Ще бъде създаден отделен екип от инженери, който да провежда тестове, да подобрява използваните методи, да анализира резултатите от тестовете, да предава информация на разработчиците на проекти и да координира сътрудничеството за разрешаване на критични проблеми. Основната задача на този екип ще бъде да отхвърля фалшиви положителни резултати и да идентифицира реални уязвимости в автоматизирани отчети.

Необходимостта от ръчен одит на етап Алфа се дължи на необходимостта от идентифициране на скрити проблеми, които са проблематични за идентифициране по време на автоматизирано тестване. Като пример за такива проблеми се споменават скорошни критични уязвимости в Log4j, които застрашиха инфраструктурата на голям брой големи компании. Проектите за одит ще бъдат избрани, като се вземат предвид препоръките на експертната общност и данните от предварително генерираните критични оценки и рейтинги от преброяване.

Напомняме, че OpenSSF е създаден под егидата на Linux Foundation и е фокусиран върху работа в области като координирано разкриване на уязвимости, разпространение на пачове, разработване на инструменти за сигурност, публикуване на най-добри практики за организация на сигурна разработка, идентифициране на сигурност -свързани заплахи в отворения софтуер, извършване на работа по одит и укрепване на сигурността на критични проекти с отворен код, създаване на инструменти за проверка на самоличността на разработчиците. OpenSSF продължава да развива инициативи като Core Infrastructure Initiative и Open Source Security Coalition, а също така интегрира друга работа, свързана със сигурността, предприета от компании, които са се присъединили към проекта. Основателите на OpenSSF включват Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk и VMware.

Източник: opennet.ru

Инициатива Alpha-Omega, насочена към подобряване на сигурността на 10 хиляди проекта с отворен код

Добавяне на нов коментар

Инициатива Alpha-Omega, насочена към подобряване на сигурността на 10 хиляди проекта с отворен код

Добавяне на нов коментар Отказване на отговора

Добавяне на нов коментар