OpenSSF (Open Source Security Foundation) wis ngluncurake proyek Alpha-Omega, sing tujuane kanggo ningkatake keamanan piranti lunak sumber terbuka. Google lan Microsoft bakal nyedhiyakake investasi awal $5 yuta kanggo pangembangan proyek lan personel kanggo ngluncurake inisiatif kasebut. Organisasi liyane uga diundang kanggo melu, liwat staf teknik lan liwat pendanaan, sing bakal mbantu ngembangake jumlah proyek sumber terbuka sing dicakup dening inisiatif kasebut. Salajengipun, ing pungkasan taun kepungkur, $10 yuta dialokasikan kanggo karya OpenSSF Foundation; apa dana kasebut bakal digunakake kanggo inisiatif Alpha-Omega durung ditemtokake.
Proyèk Alpha-Omega kasusun saka rong komponen:
- Bagean Alpha saka proyèk iki nglibataké audit keamanan manual saka 200 proyèk sumber terbuka sing digunakaké sacara wiyar, sing paling populer ing babagan panggunaané minangka dependensi utawa ing unsur infrastruktur. Pakaryan iki bakal ditindakaké kanthi kolaborasi karo para pengelola lan bakal kalebu analisis kode sistematis kanggo ngenali kerentanan anyar lan langsung ndandani.
- Sebagéan saka Omega fokus ing uji coba otomatis kanggo 10 proyèk sumber terbuka sing paling populer. Tim insinyur sing darmabakti bakal digawe kanggo nindakake uji coba, nyaring metode sing digunakake, nganalisis asil uji coba, ngirim informasi menyang para pengembang proyèk, lan koordinasi upaya kolaboratif kanggo ngrampungake masalah kritis. Tugas utama tim iki yaiku nyaring positif palsu lan ngenali kerentanan nyata ing laporan otomatis.
Audit manual ing tahap Alpha perlu kanggo ngenali masalah sing didhelikake sing angel dideteksi liwat pengujian otomatis. Kerentanan kritis anyar ing Log4j, sing ngrusak infrastruktur akeh perusahaan gedhe, dikutip minangka conto masalah kasebut. Proyek kanggo audit bakal dipilih adhedhasar rekomendasi saka komunitas ahli lan data saka rating Critically Score lan Census sing wis dikompilasi sadurunge.
Ayo padha ngelingake yen Yayasan OpenSSF digawe ing sangisore naungan organisasi kasebut. Linux Yayasan lan fokus ing pakaryan ing babagan kaya ta pengungkapan kerentanan sing terkoordinasi, distribusi patch, pangembangan alat keamanan, nerbitake praktik paling apik kanggo pangembangan sing aman, ngenali ancaman keamanan ing piranti lunak sumber terbuka, audit lan nguatake proyek sumber terbuka sing penting, lan nggawe alat kanggo verifikasi identitas para pangembang. OpenSSF terus ngembangake inisiatif kayata Inisiatif Infrastruktur Inti lan Koalisi Keamanan Sumber Terbuka lan nggabungake pakaryan liyane sing ana gandhengane karo keamanan sing ditindakake dening perusahaan sing wis gabung karo proyek kasebut. Perusahaan pendiri OpenSSF kalebu Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk, lan VMware.
Source: opennet.ru
