Το OpenSSF (Open Source Security Foundation) παρουσίασε το έργο Alpha-Omega, με στόχο τη βελτίωση της ασφάλειας του λογισμικού ανοιχτού κώδικα. Οι αρχικές επενδύσεις για την ανάπτυξη του έργου ύψους 5 εκατομμυρίων δολαρίων και το προσωπικό για την έναρξη της πρωτοβουλίας θα παρασχεθούν από την Google και τη Microsoft. Άλλοι οργανισμοί ενθαρρύνονται επίσης να συμμετάσχουν, τόσο μέσω της παροχής ταλέντων μηχανικών όσο και σε επίπεδο χρηματοδότησης, γεγονός που θα συμβάλει στην επέκταση του αριθμού έργων ανοιχτού κώδικα που θα καλύπτονται από την πρωτοβουλία. Επιπλέον, στο τέλος του περασμένου έτους, διατέθηκαν 10 εκατομμύρια δολάρια για το έργο του Ιδρύματος OpenSSF· εάν αυτά τα κεφάλαια θα χρησιμοποιηθούν για την πρωτοβουλία Alpha-Omega δεν διευκρινίζεται.
Το έργο Alpha-Omega αποτελείται από δύο στοιχεία:
- Μέρος του Alpha περιλαμβάνει τη διεξαγωγή χειροκίνητου ελέγχου ασφαλείας 200 ευρέως χρησιμοποιούμενων έργων ανοιχτού κώδικα, τα πιο δημοφιλή για τη χρήση τους με τη μορφή εξαρτήσεων ή στοιχείων υποδομής. Οι εργασίες θα πραγματοποιηθούν σε συνεργασία με συντηρητές και θα περιλαμβάνουν συστηματική ανάλυση του κώδικα για τον εντοπισμό νέων ευπαθειών και τη γρήγορη διόρθωσή τους.
- Μέρος της Omega επικεντρώνεται στη διεξαγωγή αυτοματοποιημένων δοκιμών των 10 χιλιάδων πιο δημοφιλών έργων ανοιχτού κώδικα. Θα δημιουργηθεί μια ξεχωριστή ομάδα μηχανικών για τη διεξαγωγή δοκιμών, τη βελτίωση των μεθόδων που χρησιμοποιούνται, την ανάλυση των αποτελεσμάτων των δοκιμών, την επικοινωνία πληροφοριών στους προγραμματιστές του έργου και τον συντονισμό της συνεργασίας για την επίλυση κρίσιμων προβλημάτων. Το κύριο καθήκον αυτής της ομάδας θα είναι η απόρριψη ψευδών θετικών στοιχείων και ο εντοπισμός πραγματικών τρωτών σημείων στις αυτοματοποιημένες αναφορές.
Η ανάγκη για χειροκίνητο έλεγχο στο στάδιο Alpha οφείλεται στην ανάγκη εντοπισμού κρυφών προβλημάτων που είναι προβληματικό να εντοπιστούν κατά την αυτοματοποιημένη δοκιμή. Ως παράδειγμα τέτοιων προβλημάτων αναφέρονται πρόσφατα κρίσιμα τρωτά σημεία στο Log4j, τα οποία έθεσαν σε κίνδυνο την υποδομή μεγάλου αριθμού μεγάλων εταιρειών. Τα έργα για έλεγχο θα επιλεγούν λαμβάνοντας υπόψη τις συστάσεις της κοινότητας των εμπειρογνωμόνων και τα δεδομένα από την κρίσιμη βαθμολογία και τις αξιολογήσεις απογραφής που δημιουργήθηκαν προηγουμένως.
Υπενθυμίζουμε ότι το OpenSSF δημιουργήθηκε υπό την αιγίδα του Linux Foundation και επικεντρώνεται σε εργασίες σε τομείς όπως η συντονισμένη αποκάλυψη ευπάθειας, η διανομή ενημερώσεων κώδικα, η ανάπτυξη εργαλείων ασφαλείας, η δημοσίευση βέλτιστων πρακτικών για ασφαλή ανάπτυξη, ο εντοπισμός απειλών ασφαλείας στο ανοιχτό λογισμικό, διεξαγωγή εργασιών για τον έλεγχο και την ενίσχυση της ασφάλειας κρίσιμων έργων ανοιχτού κώδικα, δημιουργία εργαλείων για την επαλήθευση της ταυτότητας των προγραμματιστών. Το OpenSSF συνεχίζει να αναπτύσσει πρωτοβουλίες όπως το Core Infrastructure Initiative και το Open Source Security Coalition, και επίσης ενσωματώνει άλλες εργασίες που σχετίζονται με την ασφάλεια που έχουν αναληφθεί από εταιρείες που έχουν ενταχθεί στο έργο. Οι ιδρυτικές εταιρείες του OpenSSF περιλαμβάνουν τις Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk και VMware.
Πηγή: opennet.ru