Die OpenSSF (Open Source Security Foundation) hat das Alpha-Omega-Projekt ins Leben gerufen, das darauf abzielt, die Sicherheit von Open-Source-Software zu verbessern. Anfangsinvestitionen für die Entwicklung des Projekts in Höhe von 5 Millionen US-Dollar sowie Personal für den Start der Initiative werden von Google und Microsoft bereitgestellt. Auch andere Organisationen werden zur Teilnahme ermutigt, sowohl durch die Bereitstellung von Ingenieurtalenten als auch auf Finanzierungsebene, was dazu beitragen wird, die Anzahl der Open-Source-Projekte zu erhöhen, die von der Initiative abgedeckt werden. Darüber hinaus wurden Ende letzten Jahres 10 Millionen US-Dollar für die Arbeit der OpenSSF Foundation bereitgestellt; ob diese Mittel für die Alpha-Omega-Initiative verwendet werden, ist nicht klar.
Das Alpha-Omega-Projekt besteht aus zwei Komponenten:
- Ein Teil von Alpha umfasst die Durchführung einer manuellen Sicherheitsüberprüfung von 200 weit verbreiteten Open-Source-Projekten, die vor allem wegen ihrer Verwendung in Form von Abhängigkeiten oder Infrastrukturelementen beliebt sind. Die Arbeiten werden in Zusammenarbeit mit Betreuern durchgeführt und umfassen eine systematische Analyse des Codes, um neue Schwachstellen zu identifizieren und diese schnell zu beheben.
- Ein Teil von Omega konzentriert sich auf die Durchführung automatisierter Tests der 10 beliebtesten Open-Source-Projekte. Es wird ein separates Team von Ingenieuren zusammengestellt, um Tests durchzuführen, die verwendeten Methoden zu verbessern, Testergebnisse zu analysieren, Informationen an Projektentwickler weiterzugeben und die Zusammenarbeit zur Lösung kritischer Probleme zu koordinieren. Die Hauptaufgabe dieses Teams wird darin bestehen, Fehlalarme zurückzuweisen und echte Schwachstellen in automatisierten Berichten zu identifizieren.
Die Notwendigkeit einer manuellen Prüfung in der Alpha-Phase ergibt sich aus der Notwendigkeit, versteckte Probleme zu identifizieren, die bei automatisierten Tests nur schwer zu erkennen sind. Als Beispiel für solche Probleme werden aktuelle kritische Schwachstellen in Log4j genannt, die die Infrastruktur einer Vielzahl großer Unternehmen gefährdeten. Die zu prüfenden Projekte werden unter Berücksichtigung der Empfehlungen der Expertengemeinschaft und der Daten aus den zuvor generierten Critical Score- und Census-Bewertungen ausgewählt.
Zur Erinnerung: Das OpenSSF wurde unter der Schirmherrschaft der Linux Foundation ins Leben gerufen und konzentriert sich auf Arbeiten in Bereichen wie koordinierte Offenlegung von Schwachstellen, Patch-Verteilung, Entwicklung von Sicherheitstools, Veröffentlichung von Best Practices für sichere Entwicklung und offene Identifizierung sicherheitsrelevanter Bedrohungen Software, Durchführung von Arbeiten zur Prüfung und Stärkung der Sicherheit kritischer Open-Source-Projekte, Erstellung von Tools zur Überprüfung der Identität von Entwicklern. OpenSSF entwickelt weiterhin Initiativen wie die Core Infrastructure Initiative und die Open Source Security Coalition und integriert auch andere sicherheitsbezogene Arbeiten von Unternehmen, die sich dem Projekt angeschlossen haben. Zu den Gründungsunternehmen von OpenSSF gehören Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk und VMware.
Source: opennet.ru