A OpenSSF (Open Source Security Foundation) presentou o proxecto Alpha-Omega, destinado a mellorar a seguridade do software de código aberto. Os investimentos iniciais para o desenvolvemento do proxecto por importe de 5 millóns de dólares e o persoal para lanzar a iniciativa serán proporcionados por Google e Microsoft. Tamén se anima a que participen outras organizacións, tanto a través da dotación de talento de enxeñería como a nivel de financiamento, o que contribuirá a ampliar o número de proxectos de código aberto que cubrirán a iniciativa. Ademais, a finais do ano pasado, asignáronse 10 millóns de dólares para o traballo da Fundación OpenSSF; non se especifica se estes fondos se utilizarán para a iniciativa Alpha-Omega.
O proxecto Alpha-Omega consta de dous compoñentes:
- Parte de Alpha implica a realización dunha auditoría manual de seguridade de 200 proxectos de código aberto amplamente utilizados, os máis populares polo seu uso en forma de dependencias ou elementos de infraestrutura. O traballo realizarase en colaboración cos mantedores e incluirá unha análise sistemática do código para identificar novas vulnerabilidades e solucionalas rapidamente.
- Parte de Omega céntrase na realización de probas automatizadas dos 10 mil proxectos de código aberto máis populares. Crearase un equipo separado de enxeñeiros para realizar probas, mellorar os métodos utilizados, analizar os resultados das probas, comunicar información aos desenvolvedores do proxecto e coordinar a colaboración para resolver problemas críticos. A principal tarefa deste equipo será rexeitar falsos positivos e identificar vulnerabilidades reais nos informes automatizados.
A necesidade dunha auditoría manual na fase Alpha débese á necesidade de identificar problemas ocultos que son problemáticos de identificar durante as probas automatizadas. Como exemplo deste tipo de problemas, menciónanse vulnerabilidades críticas recentes en Log4j, que puxeron en perigo a infraestrutura dun gran número de grandes empresas. Os proxectos para a auditoría seleccionaranse tendo en conta as recomendacións da comunidade de expertos e os datos das puntuacións críticas e do censo xeradas previamente.
Como recordatorio, o OpenSSF foi creado baixo os auspicios da Fundación Linux e céntrase no traballo en áreas como a divulgación coordinada de vulnerabilidades, distribución de parches, desenvolvemento de ferramentas de seguridade, publicación de mellores prácticas para a organización segura do desenvolvemento, identificación de seguridade. -ameazas relacionadas no Software aberto, realizando traballos de auditoría e reforzo da seguridade de proxectos críticos de código aberto, creando ferramentas para verificar a identidade dos desenvolvedores. OpenSSF segue desenvolvendo iniciativas como a Core Infrastructure Initiative e a Open Source Security Coalition, e tamén integra outros traballos relacionados coa seguridade realizados polas empresas que se sumaron ao proxecto. As empresas fundadoras de OpenSSF inclúen Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk e VMware.
Fonte: opennet.ru