L'OpenSSF (Open Source Security Foundation) hà introduttu u prughjettu Alpha-Omega, destinatu à migliurà a sicurità di u software open source. L'investimenti iniziali per u sviluppu di u prugettu in quantità di $ 5 milioni è u persunale per lancià l'iniziativa seranu furniti da Google è Microsoft. L'altri urganisazioni sò ancu incuraghjiti à participà, sia per via di a pruvisione di talentu di l'ingegneria sia à u livellu di finanziamentu, chì aiutanu à espansione u numeru di prughjetti open source chì saranu cuparti da l'iniziativa. Inoltre, à a fine di l'annu passatu, $ 10 milioni sò stati attribuiti per u travagliu di a Fundazione OpenSSF; ùn hè micca specificatu se questi fondi seranu utilizati per l'iniziativa Alpha-Omega.
U prughjettu Alpha-Omega hè custituitu di dui cumpunenti:
- Una parte di Alpha implica a realizazione di un auditu manuale di sicurezza di 200 prughjetti di fonte aperta largamente utilizati, più populari per u so usu in forma di dipendenze o elementi infrastrutturali. U travagliu serà realizatu in cullaburazione cù i manutentori è includerà l'analisi sistematica di u codice per identificà e novi vulnerabilità è riparà rapidamente.
- Una parte di Omega hè focu annantu à a realizazione di teste automatizate di i 10 mila prughjetti open source più populari. Una squadra separata di ingegneri serà creata per fà teste, migliurà i metudi utilizati, analizà i risultati di e teste, cumunicà l'infurmazioni à i sviluppatori di prughjetti è coordina a cullaburazione per risolve i prublemi critichi. U compitu principale di sta squadra serà di ricusà i falsi pusitivi è identificà e vulnerabili vulnerabili in i rapporti automatizati.
A necessità di un auditu manuale in u stadiu Alpha hè duvuta à a necessità di identificà i prublemi nascosti chì sò problematici per identificà durante a prova automatizata. Comu esempiu di tali prublemi, i vulnerabili critichi recenti in Log4j sò citati, chì mette in periculu l'infrastruttura di un gran numaru di grande cumpagnie. I prughjetti per l'auditu seranu scelti tenendu in contu i cunsiglii di a cumunità di l'esperti è e dati da i punteggi critichi è u censu generati prima.
Ricurdemu chì a Fundazione OpenSSF hè stata creata sottu l'auspici di l'urganizazione Linux Fundazione è si cuncentra nantu à u travagliu in aree cum'è a divulgazione coordinata di vulnerabilità, a distribuzione di patch, u sviluppu di strumenti di sicurezza, a publicazione di e migliori pratiche per un sviluppu sicuru, l'identificazione di minacce di sicurezza in software open source, l'auditing è u rinfurzamentu di prughjetti open source critichi, è a creazione di strumenti per verificà l'identità di i sviluppatori. OpenSSF cuntinueghja u sviluppu di iniziative cum'è a Core Infrastructure Initiative è l'Open Source Security Coalition è integra altri travaglii ligati à a sicurezza intrapresi da cumpagnie chì anu aderitu à u prugettu. E cumpagnie fundatrici di OpenSSF includenu Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk è VMware.
Source: opennet.ru
