OpenSSF (Open Source Security Foundation) představila projekt Alpha-Omega, zaměřený na zlepšení bezpečnosti open source softwaru. Počáteční investice do vývoje projektu ve výši 5 milionů dolarů a personál pro spuštění iniciativy zajistí Google a Microsoft. K účasti jsou vyzývány i další organizace, a to jak prostřednictvím poskytování inženýrských talentů, tak na úrovni financování, což pomůže rozšířit počet projektů s otevřeným zdrojovým kódem, na které se bude iniciativa vztahovat. Na konci loňského roku bylo navíc na práci OpenSSF Foundation vyčleněno 10 milionů dolarů, zda budou tyto prostředky použity na iniciativu Alpha-Omega, není upřesněno.
Projekt Alpha-Omega se skládá ze dvou částí:
- Součástí Alfy je provedení manuálního bezpečnostního auditu 200 široce používaných open source projektů, nejoblíbenějších pro jejich použití ve formě závislostí nebo prvků infrastruktury. Práce bude prováděna ve spolupráci se správci a bude zahrnovat systematickou analýzu kódu s cílem identifikovat nové zranitelnosti a rychle je opravit.
- Část Omegy je zaměřena na provádění automatizovaného testování 10 tisíc nejpopulárnějších open source projektů. Bude vytvořen samostatný tým inženýrů, který bude provádět testování, zlepšovat používané metody, analyzovat výsledky testů, sdělovat informace vývojářům projektů a koordinovat spolupráci při řešení kritických problémů. Hlavním úkolem tohoto týmu bude odmítat falešné poplachy a identifikovat skutečné zranitelnosti v automatizovaných reportech.
Potřeba manuálního auditu ve fázi Alfa je způsobena potřebou identifikovat skryté problémy, které je problematické identifikovat během automatizovaného testování. Jako příklad takových problémů jsou zmíněny nedávné kritické zranitelnosti v Log4j, které ohrozily infrastrukturu velkého počtu velkých společností. Projekty pro audit budou vybírány s přihlédnutím k doporučením odborné komunity a údajům z dříve vygenerovaných kritických skóre a hodnocení sčítání lidu.
Připomínáme, že OpenSSF byl vytvořen pod záštitou Linux Foundation a je zaměřen na práci v oblastech, jako je koordinované odhalování zranitelnosti, distribuce oprav, vývoj bezpečnostních nástrojů, publikování osvědčených postupů pro bezpečný vývoj, identifikace bezpečnostních hrozeb v otevřeném softwaru, provádění prací na auditu a posílení bezpečnosti kritických open source projektů, vytváření nástrojů pro ověřování identity vývojářů. OpenSSF pokračuje ve vývoji iniciativ, jako je Core Infrastructure Initiative a Open Source Security Coalition, a také integruje další práce související s bezpečností prováděné společnostmi, které se k projektu připojily. Mezi zakládající společnosti OpenSSF patří Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk a VMware.
Zdroj: opennet.ru