De OpenSSF (Open Source Security Foundation) yntrodusearre it Alpha-Omega-projekt, rjochte op it ferbetterjen fan de feiligens fan iepen boarne software. Inisjele ynvestearrings foar de ûntwikkeling fan it projekt yn it bedrach fan $ 5 miljoen en personiel om it inisjatyf te starten sille wurde levere troch Google en Microsoft. Oare organisaasjes wurde ek stimulearre om mei te dwaan, sawol troch it oanbieden fan yngenieurstalint as op it finansieringsnivo, wat sil helpe om it tal iepenboarneprojekten út te wreidzjen dy't troch it inisjatyf behannele wurde. Dêrnjonken waard oan 'e ein fan ferline jier $ 10 miljoen tawiisd foar it wurk fan' e OpenSSF Foundation of dizze fûnsen sille wurde brûkt foar it Alpha-Omega-inisjatyf is net spesifisearre.
It Alpha-Omega-projekt bestiet út twa komponinten:
- In diel fan Alpha omfettet it útfieren fan in hânmjittich befeiligingskontrôle fan 200 wiid brûkte iepen boarne-projekten, meast populêr foar har gebrûk yn 'e foarm fan ôfhinklikens as ynfrastruktuer-eleminten. It wurk sil wurde útfierd yn gearwurking mei ûnderhâlders en sil systematyske analyze fan 'e koade omfetsje om nije kwetsberens te identifisearjen en se fluch te reparearjen.
- In diel fan Omega is rjochte op it útfieren fan automatisearre testen fan 'e 10 tûzen meast populêre iepen boarne-projekten. In apart team fan yngenieurs sil wurde makke om testen út te fieren, de brûkte metoaden te ferbetterjen, testresultaten te analysearjen, ynformaasje te kommunisearjen oan projektûntwikkelders en koördinearje gearwurking om krityske problemen op te lossen. De haadtaak fan dit team sil wêze om falske positiven te fersmiten en echte kwetsberens te identifisearjen yn automatisearre rapporten.
De needsaak foar in hânmjittich kontrôle op it Alpha-stadium komt troch de needsaak om ferburgen problemen te identifisearjen dy't problematysk binne om te identifisearjen tidens automatisearre testen. As foarbyld fan sokke problemen wurde resinte krityske kwetsberens yn Log4j neamd, dy't de ynfrastruktuer fan in grut tal grutte bedriuwen yn gefaar bringe. Projekten foar kontrôle sille wurde selekteare mei de oanbefellings fan 'e saakkundige mienskip en gegevens fan' e earder generearre Critical Score en Census ratings.
Lit ús jo deroan herinnerje dat de OpenSSF Foundation ûnder auspysjes fan 'e organisaasje oprjochte is Linux Stichting en rjochtet him op wurk op gebieten lykas koördinearre iepenbiering fan kwetsberens, distribúsje fan patches, ûntwikkeling fan feiligensark, publisearjen fan bêste praktiken foar feilige ûntwikkeling, identifisearjen fan feiligensbedrigingen yn iepen boarne software, kontrôle en fersterking fan krityske iepen boarne projekten, en it meitsjen fan ark foar it ferifiearjen fan de identiteit fan ûntwikkelders. OpenSSF giet troch mei de ûntwikkeling fan inisjativen lykas it Core Infrastructure Initiative en de Open Source Security Coalition en yntegreart oar feiligensrelatearre wurk dat útfierd wurdt troch bedriuwen dy't meidien hawwe oan it projekt. OpenSSF-oprjochtersbedriuwen binne ûnder oaren Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk, en VMware.
Boarne: opennet.ru
