La OpenSSF (Open Source Security Foundation) presentó el proyecto Alpha-Omega, cuyo objetivo es mejorar la seguridad del software de código abierto. Las inversiones iniciales para el desarrollo del proyecto por valor de 5 millones de dólares y el personal para poner en marcha la iniciativa correrán a cargo de Google y Microsoft. También se anima a participar a otras organizaciones, tanto mediante la aportación de talento en ingeniería como a nivel de financiación, lo que ayudará a ampliar el número de proyectos de código abierto que cubrirá la iniciativa. Además, a finales del año pasado se asignaron 10 millones de dólares para el trabajo de la Fundación OpenSSF; no se especifica si estos fondos se utilizarán para la iniciativa Alpha-Omega.
El proyecto Alpha-Omega consta de dos componentes:
- Parte de Alpha implica realizar una auditoría de seguridad manual de 200 proyectos de código abierto ampliamente utilizados, los más populares por su uso en forma de dependencias o elementos de infraestructura. El trabajo se llevará a cabo en colaboración con los mantenedores e incluirá un análisis sistemático del código para identificar nuevas vulnerabilidades y solucionarlas rápidamente.
- Parte de Omega se centra en realizar pruebas automatizadas de los 10 proyectos de código abierto más populares. Se creará un equipo separado de ingenieros para realizar pruebas, mejorar los métodos utilizados, analizar los resultados de las pruebas, comunicar información a los desarrolladores de proyectos y coordinar la colaboración para resolver problemas críticos. La principal tarea de este equipo será rechazar los falsos positivos e identificar vulnerabilidades reales en los informes automatizados.
La necesidad de una auditoría manual en la etapa Alfa se debe a la necesidad de identificar problemas ocultos que son problemáticos de identificar durante las pruebas automatizadas. Como ejemplo de tales problemas, se mencionan las recientes vulnerabilidades críticas en Log4j, que pusieron en peligro la infraestructura de un gran número de grandes empresas. Los proyectos para auditoría se seleccionarán teniendo en cuenta las recomendaciones de la comunidad de expertos y los datos de las calificaciones del Censo y la Puntuación Crítica generadas previamente.
Como recordatorio, OpenSSF se creó bajo los auspicios de la Fundación Linux y se centra en trabajar en áreas como la divulgación coordinada de vulnerabilidades, distribución de parches, desarrollo de herramientas de seguridad, publicación de mejores prácticas para el desarrollo seguro, identificación de amenazas a la seguridad en el software abierto, realizando trabajos de auditoría y fortalecimiento de la seguridad de proyectos críticos de código abierto, creando herramientas para verificar la identidad de los desarrolladores. OpenSSF continúa desarrollando iniciativas como la Core Infrastructure Initiative y la Open Source Security Coalition, y también integra otros trabajos relacionados con la seguridad realizados por empresas que se han sumado al proyecto. Las empresas fundadoras de OpenSSF incluyen a Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk y VMware.
Fuente: opennet.ru