OpenSSF (Open Source Security Foundation) esitteli Alpha-Omega-projektin, jonka tavoitteena on parantaa avoimen lähdekoodin ohjelmistojen turvallisuutta. Alkuinvestoinnit hankkeen kehittämiseen 5 miljoonan dollarin arvosta ja aloitteen käynnistämiseen tarvittavat henkilöt tarjoavat Google ja Microsoft. Myös muita organisaatioita kannustetaan osallistumaan sekä insinööriosaajien että rahoitustasolla, mikä auttaa laajentamaan aloitteen piiriin kuuluvien avoimen lähdekoodin projektien määrää. Lisäksi viime vuoden lopulla OpenSSF-säätiön työhön osoitettiin 10 miljoonaa dollaria, ei kerrota, käytetäänkö nämä varat Alpha-Omega-aloitteeseen.
Alpha-Omega-projekti koostuu kahdesta osasta:
- Osa Alphaa sisältää manuaalisen tietoturvatarkastuksen 200 laajalti käytetylle avoimen lähdekoodin projektille, joista suosituimpia ovat riippuvuuksien tai infrastruktuurielementtien käyttö. Työ tehdään yhteistyössä ylläpitäjien kanssa ja siihen sisältyy koodin systemaattinen analysointi uusien haavoittuvuuksien tunnistamiseksi ja nopeaksi korjaamiseksi.
- Osa Omegasta on keskittynyt 10 tuhannen suosituimman avoimen lähdekoodin projektin automaattiseen testaukseen. Erillinen insinööritiimi luodaan testaamaan, parantamaan käytettyjä menetelmiä, analysoimaan testituloksia, välittämään tietoa projektien kehittäjille ja koordinoimaan yhteistyötä kriittisten ongelmien ratkaisemiseksi. Tämän tiimin päätehtävänä on hylätä väärät positiiviset tiedot ja tunnistaa todelliset haavoittuvuudet automaattisissa raporteissa.
Manuaalisen tarkastuksen tarve Alpha-vaiheessa johtuu tarpeesta tunnistaa piilotetut ongelmat, jotka on ongelmallista tunnistaa automaattisen testauksen aikana. Esimerkkinä tällaisista ongelmista mainitaan Log4j:n viimeaikaiset kriittiset haavoittuvuudet, jotka vaaransivat useiden suurten yritysten infrastruktuurin. Tarkastettavat projektit valitaan ottaen huomioon asiantuntijayhteisön suositukset sekä aiemmin luotujen Critical Score- ja Census-luokittelujen tiedot.
Muistutuksena, OpenSSF luotiin Linux-säätiön alaisuudessa ja se keskittyy työhön sellaisilla aloilla kuin haavoittuvuuksien koordinoitu paljastaminen, korjaustiedostojen jakelu, tietoturvatyökalujen kehittäminen, parhaiden käytäntöjen julkaiseminen turvalliseen kehitysorganisaatioon, turvallisuuden tunnistaminen. - liittyviä uhkia avoimessa ohjelmistossa, auditointityötä ja kriittisten avoimen lähdekoodin projektien turvallisuuden vahvistamista, työkalujen luomista kehittäjien henkilöllisyyden todentamiseen. OpenSSF jatkaa aloitteiden, kuten Core Infrastructure Initiativen ja Open Source Security Coalitionin, kehittämistä ja integroi myös muita hankkeeseen osallistuneiden yritysten tietoturvaan liittyviä töitä. OpenSSF:n perustajayrityksiä ovat Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk ja VMware.
Lähde: opennet.ru