Die OpenSSF (Open Source Security Foundation) hat das Projekt Alpha-Omega vorgestellt, das die Sicherheit von Open-Source-Software erhöhen soll. Die initialen Investitionen in Höhe von 5 Millionen Dollar sowie das Personal zur Umsetzung der Initiative werden von Google und Microsoft bereitgestellt. Auch andere Organisationen sind eingeladen, sich zu beteiligen, sei es durch die Bereitstellung technischer Fachkräfte oder durch finanzielle Unterstützung, um die Anzahl der offenen Projekte zu erweitern, die von der Initiative profitieren können. Darüber hinaus wurden Ende letzten Jahres 10 Millionen Dollar für die Arbeit der OpenSSF bereitgestellt; ob diese Mittel für die Alpha-Omega-Initiative verwendet werden, bleibt unklar.
Das Alpha-Omega-Projekt besteht aus zwei Komponenten:
- Der Alpha-Teil umfasst eine manuelle Sicherheitsüberprüfung von 200 weit verbreiteten Open-Source-Projekten, die aufgrund ihrer Nutzung in Abhängigkeiten oder als Teile der Infrastruktur besonders populär sind. Die Arbeit wird in Zusammenarbeit mit den beteiligten Personen durchgeführt und beinhaltet eine systematische Analyse des Codes zur Identifizierung neuer Schwachstellen und deren schnelle Behebung.
- Der Omega-Teil konzentriert sich auf die Durchführung automatisierter Tests von 10.000 der beliebtesten Open-Source-Projekte. Für die Durchführung der Tests, die Verfeinerung der verwendeten Methoden, die Analyse der Testergebnisse, die Weitergabe der Informationen an die Projektentwickler und die Koordination der Zusammenarbeit zur Behebung kritischer Probleme wird ein separates Team von Ingenieuren gebildet. Die Hauptaufgabe dieses Teams ist es, Fehlalarme zu eliminieren und in den automatisierten Berichten echte Schwachstellen zu identifizieren.
Die Notwendigkeit eines manuellen Audits in der Alpha-Phase ergibt sich aus der Notwendigkeit, versteckte Probleme zu identifizieren, die im Rahmen automatisierter Tests nur schwer zu erkennen sind. Als Beispiel für solche Probleme werden kürzlich aufgetretene kritische Sicherheitsanfälligkeiten in Log4j genannt, die die Infrastruktur zahlreicher großer Unternehmen gefährdet haben. Die Projekte, die auditiert werden sollen, werden unter Berücksichtigung der Empfehlungen der Expertengemeinde und der Daten aus zuvor erstellten Rankings wie Critically Score und Census ausgewählt.
Erinnert sei daran, dass die OpenSSF-Stiftung unter dem Dach der Linux Foundation gegründet wurde und sich auf Bereiche wie koordinierte Offenlegung von Sicherheitsanfälligkeiten, Verbreitung von Korrekturen, Entwicklung von Sicherheitswerkzeugen, Veröffentlichung von Best Practices für sichere Entwicklungsorganisationen, Identifizierung sicherheitsrelevanter Bedrohungen in Open-Source-Software, Durchführung von Audits und Stärkung der Sicherheit kritischer Open-Source-Projekte sowie die Schaffung von Mitteln zur Überprüfung der Identität von Entwicklern konzentriert. Die OpenSSF fördert weiterhin Initiativen wie die Core Infrastructure Initiative und die Open Source Security Coalition und vereint auch andere sicherheitsrelevante Arbeiten, die von den an dem Projekt beteiligten Unternehmen durchgeführt werden. Zu den Gründungsmitgliedern der OpenSSF gehören Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk und VMware.
Quelle: opennet.ru
