OpenSSF-ը (Open Source Security Foundation) ներկայացրել է Alpha-Omega նախագիծը, որն ուղղված է բաց կոդով ծրագրային ապահովման անվտանգության բարելավմանը: Նախագծի զարգացման համար նախնական ներդրումները 5 մլն դոլարի չափով և նախաձեռնության մեկնարկի անձնակազմը կտրամադրեն Google-ը և Microsoft-ը։ Մյուս կազմակերպություններին նույնպես խրախուսվում է մասնակցել՝ ինչպես ինժեներական տաղանդների տրամադրման, այնպես էլ ֆինանսավորման մակարդակով, ինչը կօգնի ընդլայնել բաց կոդով նախագծերի թիվը, որոնք կընդգրկվեն նախաձեռնության կողմից: Բացի այդ, անցած տարեվերջին 10 մլն դոլար է հատկացվել OpenSSF հիմնադրամի աշխատանքի համար, թե արդյոք այդ միջոցները կօգտագործվեն Alpha-Omega նախաձեռնության համար, չի նշվում։
Ալֆա-Օմեգա նախագիծը բաղկացած է երկու բաղադրիչից.
- Alpha-ի մի մասը ներառում է 200 լայնորեն օգտագործվող բաց կոդով նախագծերի ձեռքով անվտանգության աուդիտի անցկացում, որոնք առավել տարածված են կախվածության կամ ենթակառուցվածքի տարրերի տեսքով դրանց օգտագործման համար: Աշխատանքը կիրականացվի սպասարկողների հետ համագործակցությամբ և կներառի կոդի համակարգված վերլուծություն՝ նոր խոցելիությունները հայտնաբերելու և դրանք արագ շտկելու համար:
- Omega-ի մի մասը կենտրոնացած է 10 հազար ամենահայտնի բաց կոդով նախագծերի ավտոմատացված թեստավորման վրա: Կստեղծվի ինժեներների առանձին թիմ՝ փորձարկումներ անցկացնելու, օգտագործվող մեթոդները բարելավելու, փորձարկման արդյունքները վերլուծելու, նախագծի մշակողներին տեղեկատվություն հաղորդելու և կարևոր խնդիրների լուծման համար համագործակցությունը համակարգելու համար: Այս թիմի հիմնական խնդիրն է լինելու կեղծ պոզիտիվների մերժումը և ավտոմատացված հաշվետվություններում իրական խոցելիության հայտնաբերումը:
Ալֆա փուլում ձեռքով աուդիտի անհրաժեշտությունը պայմանավորված է թաքնված խնդիրների բացահայտման անհրաժեշտությամբ, որոնք խնդրահարույց են ավտոմատացված թեստավորման ժամանակ հայտնաբերելու համար: Որպես նման խնդիրների օրինակ՝ նշվում են Log4j-ի վերջին կրիտիկական խոցելիությունները, որոնք վտանգել են մեծ թվով խոշոր ընկերությունների ենթակառուցվածքը։ Աուդիտի համար նախատեսված նախագծերը կընտրվեն՝ հաշվի առնելով փորձագիտական համայնքի առաջարկությունները և նախկինում ստեղծված Կրիտիկական գնահատականների և մարդահամարի վարկանիշների տվյալները:
Հիշեցնենք, որ OpenSSF-ը ստեղծվել է Linux հիմնադրամի հովանու ներքո և կենտրոնացած է այնպիսի ոլորտներում աշխատանքի վրա, ինչպիսիք են խոցելիության համակարգված բացահայտումը, կարկատանների բաշխումը, անվտանգության գործիքների մշակումը, անվտանգ զարգացման լավագույն փորձի հրապարակումը, անվտանգության հետ կապված սպառնալիքների բացահայտումը բաց տարածքում: Ծրագրային ապահովման, բաց կոդով կարևոր նախագծերի աուդիտի և անվտանգության ամրապնդման աշխատանքների իրականացում, մշակողների ինքնությունը ստուգելու գործիքների ստեղծում։ OpenSSF-ը շարունակում է զարգացնել այնպիսի նախաձեռնություններ, ինչպիսիք են Core Infrastructure Initiative-ը և Open Source Security Coalition-ը, ինչպես նաև ինտեգրում է անվտանգության հետ կապված այլ աշխատանքները, որոնք ձեռնարկվել են նախագծին միացած ընկերությունների կողմից: OpenSSF-ի հիմնադիր ընկերությունները ներառում են Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk և VMware:
Source: opennet.ru