OpenSSF (Open Source Security Foundation) ngenalake proyek Alpha-Omega, kanthi tujuan ningkatake keamanan piranti lunak sumber terbuka. Investasi awal kanggo pangembangan proyek kanthi jumlah $ 5 yuta lan personel kanggo miwiti inisiatif kasebut bakal diwenehake dening Google lan Microsoft. Organisasi liyane uga disaranake kanggo melu, liwat panyedhiya bakat teknik lan ing tingkat pendanaan, sing bakal mbantu ngembangake jumlah proyek sumber terbuka sing bakal dilindhungi dening inisiatif kasebut. Kajaba iku, ing pungkasan taun kepungkur, $ 10 yuta dialokasikan kanggo karya Yayasan OpenSSF; apa dana kasebut bakal digunakake kanggo inisiatif Alpha-Omega ora ditemtokake.
Proyek Alpha-Omega kasusun saka rong komponen:
- BagΓ©yan saka Alpha kalebu nganakake audit keamanan manual kanggo 200 proyek open source sing akeh digunakake, sing paling populer digunakake ing wangun dependensi utawa unsur infrastruktur. Pakaryan kasebut bakal ditindakake kanthi kolaborasi karo pangurus lan bakal kalebu analisis kode sing sistematis kanggo ngenali kerentanan anyar lan ndandani kanthi cepet.
- BagΓ©yan saka Omega fokus kanggo nganakake tes otomatis saka 10 ewu proyek open source sing paling populer. Tim insinyur sing kapisah bakal digawe kanggo nganakake tes, nambah metode sing digunakake, nganalisa asil tes, komunikasi informasi menyang pangembang proyek lan koordinasi kolaborasi kanggo ngrampungake masalah kritis. Tugas utama tim iki yaiku nolak positif palsu lan ngenali kerentanan nyata ing laporan otomatis.
Keperluan kanggo audit manual ing tahap Alpha amarga perlu kanggo ngenali masalah sing didhelikake sing bisa diidentifikasi sajrone tes otomatis. Minangka conto masalah kasebut, kerentanan kritis anyar ing Log4j kasebut, sing mbebayani infrastruktur perusahaan gedhe. Proyek kanggo audit bakal dipilih kanthi nimbang rekomendasi komunitas ahli lan data saka Skor Kritis lan peringkat Sensus sing wis digawe sadurunge.
Minangka pangeling, OpenSSF digawe ing sangisore naungan Yayasan Linux lan fokus ing karya ing wilayah kayata pambocoran koordinasi kerentanan, distribusi patch, pangembangan alat keamanan, publikasi praktik paling apik kanggo organisasi pangembangan aman, identifikasi keamanan. -ancaman sing gegandhengan karo piranti lunak mbukak, nindakake pakaryan babagan audit lan nguatake keamanan proyek sumber terbuka kritis, nggawe alat kanggo verifikasi identitas pangembang. OpenSSF terus ngembangake inisiatif kayata Inisiatif Infrastruktur Inti lan Koalisi Keamanan Open Source, lan uga nggabungake karya sing ana gandhengane karo keamanan liyane sing ditindakake dening perusahaan sing wis gabung karo proyek kasebut. Perusahaan pendiri OpenSSF kalebu Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk lan VMware.
Source: opennet.ru