OpenSSF (Open Source Security Foundation) tutvustas projekti Alpha-Omega, mille eesmärk on parandada avatud lähtekoodiga tarkvara turvalisust. Esialgsed investeeringud projekti arendamiseks summas 5 miljonit dollarit ja algatuse käivitamiseks vajalikud töötajad teevad Google ja Microsoft. Ka teisi organisatsioone julgustatakse osalema nii inseneri talentide pakkumise kaudu kui ka rahastamise tasemel, mis aitab laiendada algatusega hõlmatud avatud lähtekoodiga projektide arvu. Lisaks eraldati eelmise aasta lõpus OpenSSF Foundationi tööks 10 miljonit dollarit, kas neid vahendeid Alpha-Omega algatuse jaoks kasutatakse, pole täpsustatud.
Alpha-Omega projekt koosneb kahest komponendist:
- Osa Alphast hõlmab 200 laialdaselt kasutatava avatud lähtekoodiga projekti käsitsi turbeauditi läbiviimist, mis on kõige populaarsemad nende kasutamise tõttu sõltuvuste või infrastruktuuri elementide kujul. Tööd tehakse koostöös hooldajatega ja see hõlmab koodi süstemaatilist analüüsi, et tuvastada uued turvaaukud ja need kiiresti parandada.
- Osa Omegast on keskendunud 10 tuhande populaarseima avatud lähtekoodiga projekti automatiseeritud testimisele. Testide läbiviimiseks, kasutatavate meetodite täiustamiseks, testitulemuste analüüsimiseks, projekti arendajatele teabe edastamiseks ja koostöö koordineerimiseks kriitiliste probleemide lahendamiseks luuakse eraldi inseneride meeskond. Selle meeskonna põhiülesanne on valepositiivsete andmete tagasilükkamine ja automaatsete aruannete tõeliste haavatavuste tuvastamine.
Manuaalse auditi vajadus alfaetapis tuleneb vajadusest tuvastada varjatud probleeme, mille tuvastamine automatiseeritud testimise käigus on problemaatiline. Selliste probleemide näitena tuuakse välja hiljutised kriitilised haavatavused Log4j-s, mis seadsid ohtu suure hulga suurettevõtete taristu. Auditeeritavate projektide valimisel võetakse arvesse ekspertide kogukonna soovitusi ning varem koostatud kriitilise skoori ja loenduse reitingute andmeid.
Tuletame meelde, et OpenSSF loodi Linux Foundationi egiidi all ja on keskendunud tööle sellistes valdkondades nagu haavatavuste koordineeritud avalikustamine, paikade levitamine, turvatööriistade arendamine, parimate praktikate avaldamine turvalise arenduskorralduse jaoks, turvalisuse tuvastamine. -seotud ohud avatud tarkvaras, kriitiliste avatud lähtekoodiga projektide auditeerimise ja turvalisuse tugevdamise tööde teostamine, tööriistade loomine arendajate identiteedi kontrollimiseks. OpenSSF jätkab selliste algatuste arendamist nagu Core Infrastructure Initiative ja Open Source Security Coalition ning integreerib ka muud projektiga liitunud ettevõtete turvalisusega seotud tööd. OpenSSFi asutajafirmade hulka kuuluvad Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk ja VMware.
Allikas: opennet.ru