Ang OpenSSF (Open Source Security Foundation) nagpaila sa Alpha-Omega nga proyekto, nga nagtumong sa pagpalambo sa seguridad sa open source software. Ang mga inisyal nga pamuhunan alang sa pagpalambo sa proyekto sa kantidad nga $5 milyon ug mga personahe nga maglunsad sa inisyatiba ihatag sa Google ug Microsoft. Ang ubang mga organisasyon giawhag usab sa pag-apil, pinaagi sa probisyon sa talento sa inhenyero ug sa lebel sa pondo, nga makatabang sa pagpalapad sa gidaghanon sa mga open source nga proyekto nga masakop sa inisyatiba. Dugang pa, sa katapusan sa miaging tuig, $10 milyon ang gigahin alang sa trabaho sa OpenSSF Foundation; kung kini nga mga pondo magamit alang sa inisyatibo sa Alpha-Omega wala gitino.
Ang proyekto sa Alpha-Omega naglangkob sa duha ka sangkap:
- Ang bahin sa Alpha naglakip sa pagpahigayon sa usa ka manwal nga pag-audit sa seguridad sa 200 nga kaylap nga gigamit nga open source nga mga proyekto, labing popular sa ilang paggamit sa porma sa mga dependency o mga elemento sa imprastraktura. Ang trabaho himuon sa kolaborasyon sa mga tigmentinar ug maglakip sa sistematikong pagtuki sa code aron mahibal-an ang mga bag-ong kahuyangan ug dali nga ayuhon kini.
- Ang bahin sa Omega naka-focus sa pagpahigayon og automated testing sa 10 ka libo nga pinakasikat nga open source nga mga proyekto. Usa ka bulag nga grupo sa mga inhenyero ang pagahimoon aron sa pagpahigayon sa pagsulay, pagpalambo sa mga pamaagi nga gigamit, pag-analisar sa mga resulta sa pagsulay, pagpahibalo sa impormasyon ngadto sa mga developers sa proyekto ug pag-coordinate sa kolaborasyon aron masulbad ang mga kritikal nga problema. Ang panguna nga tahas sa kini nga grupo mao ang pagsalikway sa mga sayup nga positibo ug pag-ila sa tinuod nga mga kahuyangan sa mga awtomatiko nga taho.
Ang panginahanglan alang sa usa ka manwal nga pag-audit sa yugto sa Alpha tungod sa panginahanglan sa pag-ila sa mga tinago nga mga problema nga adunay problema sa pag-ila sa panahon sa automated testing. Ingon usa ka pananglitan sa ingon nga mga problema, ang bag-o nga kritikal nga mga kahuyangan sa Log4j gihisgutan, nga nagpameligro sa imprastraktura sa daghang mga dagkong kompanya. Ang mga proyekto alang sa pag-audit pilion nga gikonsiderar ang mga rekomendasyon sa eksperto nga komunidad ug mga datos gikan sa kaniadto nga nahimo nga Kritikal nga Marka ug mga rating sa Census.
Isip usa ka pahinumdom, ang OpenSSF gimugna ubos sa pagdumala sa Linux Foundation ug naka-focus sa trabaho sa mga lugar sama sa coordinated vulnerability disclosure, patch distribution, security tool development, pagmantala sa pinakamaayong gawi alang sa luwas nga kalamboan, pag-ila sa mga hulga sa seguridad sa open Software, pagdala sa trabaho sa pag-awdit ug pagpalig-on sa seguridad sa mga kritikal nga open source nga mga proyekto, paghimo og mga himan alang sa pagmatuod sa pagkatawo sa mga developers. Ang OpenSSF nagpadayon sa pagpalambo sa mga inisyatibo sama sa Core Infrastructure Initiative ug ang Open Source Security Coalition, ug gihiusa usab ang uban pang trabaho nga may kalabotan sa seguridad nga gihimo sa mga kompanya nga miapil sa proyekto. Ang mga founding company sa OpenSSF naglakip sa Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk ug VMware.
Source: opennet.ru