L'OpenSSF (Open Source Security Foundation) hà introduttu u prughjettu Alpha-Omega, destinatu à migliurà a sicurità di u software open source. L'investimenti iniziali per u sviluppu di u prugettu in quantità di $ 5 milioni è u persunale per lancià l'iniziativa seranu furniti da Google è Microsoft. L'altri urganisazioni sò ancu incuraghjiti à participà, sia per via di a pruvisione di talentu di l'ingegneria sia à u livellu di finanziamentu, chì aiutanu à espansione u numeru di prughjetti open source chì saranu cuparti da l'iniziativa. Inoltre, à a fine di l'annu passatu, $ 10 milioni sò stati attribuiti per u travagliu di a Fundazione OpenSSF; ùn hè micca specificatu se questi fondi seranu utilizati per l'iniziativa Alpha-Omega.
U prughjettu Alpha-Omega hè custituitu di dui cumpunenti:
- Una parte di Alpha implica a realizazione di un auditu manuale di sicurezza di 200 prughjetti di fonte aperta largamente utilizati, più populari per u so usu in forma di dipendenze o elementi infrastrutturali. U travagliu serà realizatu in cullaburazione cù i manutentori è includerà l'analisi sistematica di u codice per identificà e novi vulnerabilità è riparà rapidamente.
- Una parte di Omega hè focu annantu à a realizazione di teste automatizate di i 10 mila prughjetti open source più populari. Una squadra separata di ingegneri serà creata per fà teste, migliurà i metudi utilizati, analizà i risultati di e teste, cumunicà l'infurmazioni à i sviluppatori di prughjetti è coordina a cullaburazione per risolve i prublemi critichi. U compitu principale di sta squadra serà di ricusà i falsi pusitivi è identificà e vulnerabili vulnerabili in i rapporti automatizati.
A necessità di un auditu manuale in u stadiu Alpha hè duvuta à a necessità di identificà i prublemi nascosti chì sò problematici per identificà durante a prova automatizata. Comu esempiu di tali prublemi, i vulnerabili critichi recenti in Log4j sò citati, chì mette in periculu l'infrastruttura di un gran numaru di grande cumpagnie. I prughjetti per l'auditu seranu scelti tenendu in contu i cunsiglii di a cumunità di l'esperti è e dati da i punteggi critichi è u censu generati prima.
Cum'è un ricordu, l'OpenSSF hè statu creatu sottu l'auspici di a Fundazione Linux è hè focu annantu à u travagliu in spazii cum'è a divulgazione coordinata di vulnerabilità, a distribuzione di patch, u sviluppu di strumenti di sicurezza, a publicazione di e migliori pratiche per u sviluppu sicuru, l'identificazione di e minacce di sicurezza in u Software apertu, realizà u travagliu nantu à auditing è rinfurzà a sicurità di i prughjetti critichi open source, creendu strumenti per verificà l'identità di i sviluppatori. OpenSSF cuntinueghja à sviluppà iniziative cum'è l'Iniziativa di l'Infrastruttura Core è a Coalizione di Sicurezza Open Source, è integra ancu altri travaglii di sicurezza assuciati da cumpagnie chì anu unitu à u prugettu. L'imprese fundatori di OpenSSF includenu Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk è VMware.
Source: opennet.ru