OpenSSF (Open Source Security Foundation) je predstavio Alpha-Omega projekat, čiji je cilj poboljšanje sigurnosti softvera otvorenog koda. Početna ulaganja za razvoj projekta u iznosu od 5 miliona dolara i osoblje za pokretanje inicijative obezbijediće Google i Microsoft. Druge organizacije se također ohrabruju da učestvuju, kako kroz obezbjeđivanje inženjerskih talenata tako i na nivou finansiranja, što će pomoći da se proširi broj projekata otvorenog koda koji će biti obuhvaćeni inicijativom. Osim toga, krajem prošle godine izdvojeno je 10 miliona dolara za rad OpenSSF fondacije, nije precizirano da li će se ta sredstva koristiti za inicijativu Alpha-Omega.
Alfa-Omega projekat se sastoji od dvije komponente:
- Dio Alpha uključuje provođenje ručne sigurnosne revizije 200 široko korišćenih projekata otvorenog koda, najpopularnijih po njihovoj upotrebi u obliku zavisnosti ili infrastrukturnih elemenata. Posao će se obavljati u saradnji sa održavaocima i uključivat će sistematsku analizu koda za identifikaciju novih ranjivosti i njihovo brzo otklanjanje.
- Deo Omege je fokusiran na sprovođenje automatizovanog testiranja 10 hiljada najpopularnijih projekata otvorenog koda. Biće stvoren poseban tim inženjera koji će provoditi testiranje, poboljšati korištene metode, analizirati rezultate testiranja, prenijeti informacije programerima projekta i koordinirati saradnju za rješavanje kritičnih problema. Glavni zadatak ovog tima biće odbacivanje lažnih pozitivnih rezultata i identifikovanje stvarnih ranjivosti u automatizovanim izveštajima.
Potreba za ručnom revizijom u Alfa fazi je zbog potrebe da se identifikuju skriveni problemi koje je problematično identifikovati tokom automatizovanog testiranja. Kao primjer takvih problema navode se nedavne kritične ranjivosti u Log4j-u, koje su ugrozile infrastrukturu velikog broja velikih kompanija. Projekti za reviziju biće odabrani uzimajući u obzir preporuke stručne zajednice i podatke iz prethodno generisanih kritičnih ocjena i popisnih ocjena.
Podsjećamo da je OpenSSF fondacija nastala pod pokroviteljstvom organizacije Linux Fondacija i fokusira se na rad u oblastima kao što su koordinirano otkrivanje ranjivosti, distribucija zakrpa, razvoj sigurnosnih alata, objavljivanje najboljih praksi za siguran razvoj, identifikacija sigurnosnih prijetnji u softveru otvorenog koda, revizija i jačanje kritičnih projekata otvorenog koda i kreiranje alata za provjeru identiteta programera. OpenSSF nastavlja razvoj inicijativa kao što su Inicijativa za osnovnu infrastrukturu i Koalicija za sigurnost otvorenog koda i integriše druge sigurnosne radove koje preduzimaju kompanije koje su se pridružile projektu. Među kompanijama osnivačima OpenSSF-a su Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk i VMware.
izvor: opennet.ru
