ProHoster > Blog > actualités internet > Initiative Alpha-Omega visant à améliorer la sécurité de 10 XNUMX projets open source

Initiative Alpha-Omega visant à améliorer la sécurité de 10 XNUMX projets open source

L'OpenSSF (Open Source Security Foundation) a dĂ©voilĂ© le projet Alpha-Omega, visant Ă  amĂ©liorer la sĂ©curitĂ© des logiciels libres. Google et Microsoft investiront initialement 5 millions de dollars pour le dĂ©veloppement et le recrutement du personnel nĂ©cessaire au lancement de l'initiative. D'autres organisations sont Ă©galement invitĂ©es Ă  participer, que ce soit par le biais de leurs ingĂ©nieurs ou de leurs financements, ce qui permettra d'Ă©tendre le nombre de projets libres couverts par l'initiative. Par ailleurs, 10 millions de dollars ont Ă©tĂ© allouĂ©s fin 2018 aux activitĂ©s de la Fondation OpenSSF ; l'affectation de ces fonds Ă  l'initiative Alpha-Omega n'a pas Ă©tĂ© prĂ©cisĂ©e.

Le projet Alpha-Omega se compose de deux Ă©lĂ©ments :

  • La phase Alpha du projet consiste Ă  rĂ©aliser un audit de sĂ©curitĂ© manuel de 200 projets open source largement utilisĂ©s, principalement en raison de leur utilisation comme dĂ©pendances ou Ă©lĂ©ments d'infrastructure. Ce travail sera menĂ© en collaboration avec les responsables de la maintenance et comprendra une analyse systĂ©matique du code afin d'identifier les nouvelles vulnĂ©rabilitĂ©s et de les corriger rapidement.
  • Une partie du projet Omega est consacrĂ©e aux tests automatisĂ©s de 10 000 des projets open source les plus populaires. Une Ă©quipe d'ingĂ©nieurs dĂ©diĂ©e sera crĂ©Ă©e pour rĂ©aliser les tests, optimiser les mĂ©thodes utilisĂ©es, analyser les rĂ©sultats, communiquer les informations aux dĂ©veloppeurs et coordonner la rĂ©solution des problĂšmes critiques. Sa mission principale sera d'Ă©liminer les faux positifs et d'identifier les vulnĂ©rabilitĂ©s rĂ©elles dans les rapports automatisĂ©s.

Un audit manuel en phase Alpha est nécessaire pour identifier les problÚmes cachés, difficiles à détecter par des tests automatisés. Les récentes vulnérabilités critiques de Log4j, qui ont compromis l'infrastructure de nombreuses grandes entreprises, en sont un exemple. Les projets à auditer seront sélectionnés sur la base des recommandations de la communauté d'experts et des données issues des évaluations Critically Score et Census précédemment compilées.

Nous vous rappelons que la Fondation OpenSSF a été créée sous l'égide de l'organisation Linux La Fondation OpenSSF concentre ses efforts sur des domaines tels que la divulgation coordonnée des vulnérabilités, la distribution de correctifs, le développement d'outils de sécurité, la publication de bonnes pratiques pour un développement sécurisé, l'identification des menaces de sécurité dans les logiciels libres, l'audit et le renforcement de la sécurité des projets open source critiques, ainsi que la création d'outils de vérification d'identité des développeurs. OpenSSF poursuit le développement d'initiatives telles que la Core Infrastructure Initiative et l'Open Source Security Coalition, et intÚgre d'autres travaux liés à la sécurité menés par les entreprises qui ont rejoint le projet. Parmi les entreprises fondatrices d'OpenSSF figurent Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk et VMware.

Source: opennet.ru

Achetez un hĂ©bergement fiable pour les sites avec protection DDoS, serveurs VPS VDS đŸ”„ Achetez un hĂ©bergement web fiable avec protection DDoS, serveurs VPS et VDS | ProHoster