OpenSSF (Open Source Security Foundation) introducerede Alpha-Omega-projektet, der har til formål at forbedre sikkerheden i open source-software. Indledende investeringer i udviklingen af projektet på $5 millioner og personale til at lancere initiativet vil blive leveret af Google og Microsoft. Andre organisationer opfordres også til at deltage, både gennem tilvejebringelse af ingeniørtalent og på finansieringsniveau, hvilket vil bidrage til at udvide antallet af open source-projekter, som vil være omfattet af initiativet. Derudover blev der i slutningen af sidste år afsat 10 millioner dollars til arbejdet i OpenSSF Foundation, om disse midler vil blive brugt til Alpha-Omega-initiativet.
Alpha-Omega-projektet består af to komponenter:
- En del af Alpha involverer at udføre en manuel sikkerhedsaudit af 200 udbredte open source-projekter, mest populære for deres brug i form af afhængigheder eller infrastrukturelementer. Arbejdet vil blive udført i samarbejde med vedligeholdere og vil omfatte systematisk analyse af koden for at identificere nye sårbarheder og hurtigt rette dem.
- En del af Omega er fokuseret på at udføre automatiseret test af de 10 tusinde mest populære open source-projekter. Et separat team af ingeniører vil blive oprettet til at udføre test, forbedre de anvendte metoder, analysere testresultater, kommunikere information til projektudviklere og koordinere samarbejde for at løse kritiske problemer. Hovedopgaven for dette team vil være at afvise falske positiver og identificere reelle sårbarheder i automatiserede rapporter.
Behovet for en manuel revision på Alpha-stadiet skyldes behovet for at identificere skjulte problemer, der er problematiske at identificere under automatiseret test. Som eksempel på sådanne problemer nævnes nylige kritiske sårbarheder i Log4j, som satte infrastrukturen i fare for en lang række store virksomheder. Projekter til revision vil blive udvalgt under hensyntagen til anbefalingerne fra ekspertsamfundet og data fra de tidligere genererede Critical Score og Census ratings.
Lad os minde dig om, at OpenSSF Foundation blev oprettet under organisationens ledelse Linux Foundation og fokuserer på arbejde inden for områder som koordineret afsløring af sårbarheder, distribution af patches, udvikling af sikkerhedsværktøjer, udgivelse af bedste praksis for sikker udvikling, identifikation af sikkerhedstrusler i open source-software, revision og styrkelse af kritiske open source-projekter og oprettelse af værktøjer til at verificere udvikleres identitet. OpenSSF fortsætter udviklingen af initiativer som Core Infrastructure Initiative og Open Source Security Coalition og integrerer andet sikkerhedsrelateret arbejde udført af virksomheder, der har tilsluttet sig projektet. OpenSSFs stiftende virksomheder inkluderer Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk og VMware.
Kilde: opennet.ru
