OpenSSF (Open Source Security Foundation) memperkenalkan proyek Alpha-Omega, yang bertujuan untuk meningkatkan keamanan perangkat lunak sumber terbuka. Investasi awal untuk pengembangan proyek sebesar $5 juta dan personel untuk meluncurkan inisiatif ini akan disediakan oleh Google dan Microsoft. Organisasi-organisasi lain juga didorong untuk berpartisipasi, baik melalui penyediaan talenta teknik maupun pada tingkat pendanaan, yang akan membantu memperluas jumlah proyek sumber terbuka yang akan dicakup oleh inisiatif ini. Selain itu, pada akhir tahun lalu, $10 juta dialokasikan untuk pekerjaan OpenSSF Foundation; apakah dana ini akan digunakan untuk inisiatif Alpha-Omega tidak ditentukan.
Proyek Alpha-Omega terdiri dari dua komponen:
- Bagian dari Alpha melibatkan pelaksanaan audit keamanan manual terhadap 200 proyek sumber terbuka yang banyak digunakan, yang paling populer karena penggunaannya dalam bentuk dependensi atau elemen infrastruktur. Pekerjaan ini akan dilakukan bekerja sama dengan pengelola dan akan mencakup analisis sistematis kode untuk mengidentifikasi kerentanan baru dan memperbaikinya dengan cepat.
- Bagian dari Omega difokuskan untuk melakukan pengujian otomatis terhadap 10 ribu proyek open source terpopuler. Tim insinyur terpisah akan dibentuk untuk melakukan pengujian, meningkatkan metode yang digunakan, menganalisis hasil pengujian, mengkomunikasikan informasi kepada pengembang proyek, dan mengoordinasikan kolaborasi untuk menyelesaikan masalah kritis. Tugas utama tim ini adalah menolak kesalahan positif dan mengidentifikasi kerentanan nyata dalam laporan otomatis.
Perlunya audit manual pada tahap Alpha disebabkan oleh kebutuhan untuk mengidentifikasi masalah tersembunyi yang sulit diidentifikasi selama pengujian otomatis. Sebagai contoh dari masalah tersebut, disebutkan kerentanan kritis baru-baru ini di Log4j, yang membahayakan infrastruktur sejumlah besar perusahaan besar. Proyek untuk audit akan dipilih dengan mempertimbangkan rekomendasi dari komunitas ahli dan data dari Peringkat Skor Kritis dan Sensus yang dihasilkan sebelumnya.
Sebagai pengingat, OpenSSF dibuat di bawah naungan Linux Foundation dan berfokus pada pekerjaan di berbagai bidang seperti pengungkapan kerentanan yang terkoordinasi, distribusi patch, pengembangan alat keamanan, publikasi praktik terbaik untuk organisasi pengembangan yang aman, identifikasi keamanan. -ancaman terkait pada Perangkat Lunak terbuka, melaksanakan pekerjaan pada audit dan memperkuat keamanan proyek sumber terbuka yang penting, menciptakan alat untuk memverifikasi identitas pengembang. OpenSSF terus mengembangkan inisiatif seperti Inisiatif Infrastruktur Inti dan Koalisi Keamanan Sumber Terbuka, dan juga mengintegrasikan pekerjaan terkait keamanan lainnya yang dilakukan oleh perusahaan yang telah bergabung dalam proyek ini. Perusahaan pendiri OpenSSF termasuk Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk dan VMware.
Sumber: opennet.ru