La OpenSSF (Open Source Security Foundation) lanĉis la Alpha-Omega projekton, celitan plibonigi la sekurecon de malfermkoda programaro. Komencaj investoj por la disvolviĝo de la projekto en la kvanto de $ 5 milionoj kaj dungitaro por lanĉi la iniciaton estos disponigitaj de Google kaj Microsoft. Aliaj organizoj ankaŭ estas instigitaj partopreni, kaj per la provizo de inĝenieristiktalento kaj je la financa nivelo, kiu helpos vastigi la nombron da malfermfontaj projektoj kiuj estos kovritaj per la iniciato. Krome, fine de la pasinta jaro, 10 milionoj da dolaroj estis asignitaj por la laboro de la OpenSSF Foundation; ĉu ĉi tiuj financoj estos uzataj por la iniciato Alpha-Omega ne estas precizigita.
La Alpha-Omega projekto konsistas el du komponentoj:
- Parto de Alpha implikas fari manan sekurecan revizion de 200 vaste uzataj malfermfontaj projektoj, plej popularaj por ilia uzo en formo de dependecoj aŭ infrastrukturaj elementoj. La laboro estos farita kunlabore kun prizorgantoj kaj inkluzivos sisteman analizon de la kodo por identigi novajn vundeblecojn kaj rapide ripari ilin.
- Parto de Omega koncentriĝas pri farado de aŭtomataj testadoj de la 10 mil plej popularaj malfermfontaj projektoj. Aparta teamo de inĝenieroj estos kreita por fari testadon, plibonigi la uzatajn metodojn, analizi testrezultojn, komuniki informojn al projekt-programistoj kaj kunordigi kunlaboron por solvi kritikajn problemojn. La ĉefa tasko de ĉi tiu teamo estos malakcepti falsajn pozitivojn kaj identigi realajn vundeblecojn en aŭtomatigitaj raportoj.
La bezono de mana revizio ĉe la Alfa-fazo ŝuldiĝas al la bezono identigi kaŝitajn problemojn, kiuj malfacilas identigi dum aŭtomata testado. Kiel ekzemplo de tiaj problemoj, lastatempaj kritikaj vundeblecoj en Log4j estas menciitaj, kiuj endanĝerigis la infrastrukturon de granda nombro da grandaj kompanioj. Projektoj por revizio estos elektitaj konsiderante la rekomendojn de la fakkomunumo kaj datumojn de la antaŭe generitaj Kritika Poentaro kaj Censo-taksoj.
Kiel memorigilo, la OpenSSF estis kreita sub la aŭspicioj de la Linukso-Fondaĵo kaj koncentriĝas pri laboro en areoj kiel ekzemple kunordigita malkaŝo de vundebleco, distribuo de pecetoj, disvolviĝo de sekurecaj iloj, publikigado de plej bonaj praktikoj por sekura disvolviĝo, identigado de sekurecaj minacoj en la malferma Programaro, farante laboron pri revizio kaj plifortigo de la sekureco de kritikaj malfermfontaj projektoj, kreante ilojn por kontroli la identecon de programistoj. OpenSSF daŭre disvolvas iniciatojn kiel ekzemple la Kerna Infrastruktura Iniciato kaj la Open Source Security Coalition, kaj ankaŭ integras alian sekurec-rilatan laboron entreprenitan fare de firmaoj kiuj aliĝis al la projekto. La fondaj kompanioj de OpenSSF inkluzivas Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk kaj VMware.
fonto: opennet.ru