OpenSSF (Open Source Security Foundation) kynnti Alpha-Omega verkefnið sem miðar að því að bæta öryggi opins hugbúnaðar. Upphaflegar fjárfestingar fyrir þróun verkefnisins að fjárhæð $5 milljónir og starfsfólk til að hefja frumkvæðið verða veitt af Google og Microsoft. Aðrar stofnanir eru einnig hvattar til að taka þátt, bæði með því að útvega verkfræðihæfileika og á fjármögnunarstigi, sem mun hjálpa til við að auka fjölda opinna verkefna sem munu falla undir framtakið. Að auki, í lok síðasta árs, var 10 milljónum dala úthlutað til starfa OpenSSF Foundation; hvort þessir fjármunir verði notaðir til Alpha-Omega frumkvæðisins er ekki tilgreint.
Alfa-Omega verkefnið samanstendur af tveimur þáttum:
- Hluti af Alpha felur í sér að framkvæma handvirka öryggisúttekt á 200 víða notuðum opnum hugbúnaði, vinsælust fyrir notkun þeirra í formi ósjálfstæðis eða innviðaþátta. Verkið verður unnið í samvinnu við umsjónarmenn og mun fela í sér kerfisbundna greiningu á kóðanum til að greina nýja veikleika og laga þá fljótt.
- Hluti af Omega einbeitir sér að því að framkvæma sjálfvirkar prófanir á 10 þúsund vinsælustu opnum hugbúnaðinum. Sérstakt teymi verkfræðinga verður stofnað til að framkvæma prófanir, bæta aðferðir sem notaðar eru, greina niðurstöður prófa, miðla upplýsingum til verkfræðinga og samræma samvinnu til að leysa mikilvæg vandamál. Meginverkefni þessa teymis verður að hafna fölskum jákvæðum og greina raunverulega veikleika í sjálfvirkum skýrslum.
Þörfin fyrir handvirka endurskoðun á Alpha stigi er vegna þess að þörf er á að greina falin vandamál sem erfitt er að greina við sjálfvirkar prófanir. Sem dæmi um slík vandamál eru nýlegir mikilvægir veikleikar í Log4j nefndir sem tefldu innviðum fjölda stórra fyrirtækja í hættu. Verkefni til endurskoðunar verða valin með hliðsjón af tilmælum sérfræðingasamfélagsins og gögnum frá áður mynduðu Critical Score og Census einkunnum.
Til áminningar, OpenSSF var stofnað undir merkjum Linux Foundation og einbeitir sér að vinnu á sviðum eins og samræmdri birtingu varnarleysis, dreifingu plástra, þróun öryggisverkfæra, útgáfu á bestu starfsvenjum fyrir örugga þróun, að bera kennsl á öryggisógnir í opna hugbúnaðinum, vinna við endurskoðun og styrkja öryggi mikilvægra opinna verkefna, búa til verkfæri til að sannreyna auðkenni þróunaraðila. OpenSSF heldur áfram að þróa frumkvæði eins og Core Infrastructure Initiative og Open Source Security Coalition og samþættir einnig aðra öryggistengda vinnu á vegum fyrirtækja sem hafa gengið til liðs við verkefnið. Stofnfyrirtæki OpenSSF eru Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk og VMware.
Heimild: opennet.ru