L'OpenSSF (Open Source Security Foundation) a lancé le projet Alpha-Omega, visant à améliorer la sécurité des logiciels open source. Les investissements initiaux pour le développement du projet d'un montant de 5 millions de dollars et le personnel nécessaire au lancement de l'initiative seront fournis par Google et Microsoft. D'autres organisations sont également encouragées à participer, à la fois par la mise à disposition de talents en ingénierie et au niveau du financement, ce qui contribuera à augmenter le nombre de projets open source qui seront couverts par l'initiative. De plus, à la fin de l'année dernière, 10 millions de dollars ont été alloués au travail de la Fondation OpenSSF ; il n'est pas précisé si ces fonds seront utilisés pour l'initiative Alpha-Omega.
Le projet Alpha-Omega se compose de deux volets :
- Une partie d'Alpha consiste à réaliser un audit de sécurité manuel de 200 projets open source largement utilisés, les plus appréciés pour leur utilisation sous forme de dépendances ou d'éléments d'infrastructure. Le travail sera réalisé en collaboration avec les mainteneurs et comprendra une analyse systématique du code pour identifier de nouvelles vulnérabilités et les corriger rapidement.
- Une partie d'Omega se concentre sur la réalisation de tests automatisés des 10 XNUMX projets open source les plus populaires. Une équipe distincte d'ingénieurs sera créée pour effectuer des tests, améliorer les méthodes utilisées, analyser les résultats des tests, communiquer des informations aux développeurs de projets et coordonner la collaboration pour résoudre les problèmes critiques. La tâche principale de cette équipe sera de rejeter les faux positifs et d’identifier les réelles vulnérabilités dans les rapports automatisés.
La nécessité d'un audit manuel au stade Alpha est due à la nécessité d'identifier les problèmes cachés difficiles à identifier lors des tests automatisés. À titre d'exemple de tels problèmes, sont mentionnées les récentes vulnérabilités critiques de Log4j, qui ont mis en péril l'infrastructure d'un grand nombre de grandes entreprises. Les projets à auditer seront sélectionnés en tenant compte des recommandations de la communauté d'experts et des données issues du score critique et des notes de recensement précédemment générées.
Pour rappel, l'OpenSSF a été créée sous les auspices de la Linux Foundation et se concentre sur des travaux dans des domaines tels que la divulgation coordonnée des vulnérabilités, la distribution de correctifs, le développement d'outils de sécurité, la publication des meilleures pratiques pour un développement sécurisé, l'identification des menaces de sécurité dans les logiciels ouverts, mener des travaux d'audit et de renforcement de la sécurité des projets open source critiques, créer des outils de vérification de l'identité des développeurs. OpenSSF continue de développer des initiatives telles que la Core Infrastructure Initiative et l'Open Source Security Coalition, et intègre également d'autres travaux liés à la sécurité entrepris par les entreprises qui ont rejoint le projet. Les sociétés fondatrices d'OpenSSF comprennent Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk et VMware.
Source: opennet.ru