La OpenSSF (Open Source Security Foundation) ha introdotto il progetto Alpha-Omega, volto a migliorare la sicurezza del software open source. Gli investimenti iniziali per lo sviluppo del progetto pari a 5 milioni di dollari e il personale per lanciare l'iniziativa saranno forniti da Google e Microsoft. Anche altre organizzazioni sono incoraggiate a partecipare, sia attraverso la fornitura di talenti ingegneristici che a livello di finanziamenti, il che aiuterà ad espandere il numero di progetti open source che saranno coperti dall'iniziativa. Inoltre, alla fine dello scorso anno, sono stati stanziati 10 milioni di dollari per il lavoro della Fondazione OpenSSF, ma non è specificato se questi fondi verranno utilizzati per l'iniziativa Alpha-Omega.
Il progetto Alpha-Omega è composto da due componenti:
- Parte di Alpha prevede la conduzione di un audit manuale di sicurezza di 200 progetti open source ampiamente utilizzati, più popolari per il loro utilizzo sotto forma di dipendenze o elementi infrastrutturali. Il lavoro sarà svolto in collaborazione con i manutentori e comprenderà l'analisi sistematica del codice per identificare nuove vulnerabilità e risolverle rapidamente.
- Parte di Omega si concentra sulla conduzione di test automatizzati dei 10mila progetti open source più popolari. Verrà creato un team separato di ingegneri per condurre test, migliorare i metodi utilizzati, analizzare i risultati dei test, comunicare informazioni agli sviluppatori del progetto e coordinare la collaborazione per risolvere i problemi critici. Il compito principale di questo team sarà quello di rifiutare i falsi positivi e identificare le vulnerabilità reali nei report automatizzati.
La necessità di un audit manuale nella fase Alpha è dovuta alla necessità di identificare i problemi nascosti che sono difficili da identificare durante i test automatizzati. Come esempio di tali problemi vengono menzionate le recenti vulnerabilità critiche in Log4j, che hanno messo a repentaglio l'infrastruttura di un gran numero di grandi aziende. I progetti da sottoporre a audit saranno selezionati tenendo conto delle raccomandazioni della comunità di esperti e dei dati provenienti dal punteggio critico e dalle valutazioni del censimento precedentemente generati.
Come promemoria, OpenSSF è stato creato sotto gli auspici della Linux Foundation e si concentra sul lavoro in aree quali la divulgazione coordinata delle vulnerabilità, la distribuzione di patch, lo sviluppo di strumenti di sicurezza, la pubblicazione delle migliori pratiche per lo sviluppo sicuro, l'identificazione delle minacce alla sicurezza nel software aperto, svolgere lavori di audit e rafforzare la sicurezza dei progetti open source critici, creando strumenti per verificare l'identità degli sviluppatori. OpenSSF continua a sviluppare iniziative come la Core Infrastructure Initiative e la Open Source Security Coalition, e integra anche altri lavori relativi alla sicurezza intrapresi dalle aziende che hanno aderito al progetto. Le società fondatrici di OpenSSF includono Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk e VMware.
Fonte: opennet.ru