OpenSSF (Open Source Security Foundation) ачык программалык камсыздоонун коопсуздугун жогорулатууга багытталган Alpha-Omega долбоорун киргизди. Долбоорду өнүктүрүү үчүн 5 миллион доллар өлчөмүндөгү баштапкы инвестицияларды жана демилгени ишке ашыруу үчүн кадрларды Google жана Microsoft компаниясы камсыздайт. Башка уюмдар да, инженердик таланттарды берүү аркылуу да, каржылоо деңгээлинде да катышууга чакырылат, бул демилге менен камтыла турган ачык булак долбоорлорунун санын кеңейтүүгө жардам берет. Кошумчалай кетсек, өткөн жылдын аягында OpenSSF фондунун ишине 10 миллион доллар бөлүнгөн.
Alpha-Omega долбоору эки компоненттен турат:
- Альфанын бир бөлүгү көз карандылык же инфраструктура элементтери түрүндө аларды колдонуу үчүн эң популярдуу болгон 200 кеңири колдонулган ачык булак долбоорлоруна кол менен коопсуздук аудитин жүргүзүүнү камтыйт. Иш тейлөөчүлөр менен биргеликте ишке ашырылат жана жаңы кемчиликтерди аныктоо жана аларды тез оңдоо үчүн коддун системалуу анализин камтыйт.
- Omega бир бөлүгү 10 миң эң популярдуу ачык булак долбоорлорун автоматташтырылган тестирлөөдөн өткөрүүгө багытталган. Тестирлөө жүргүзүү, колдонулган ыкмаларды өркүндөтүү, тесттин натыйжаларын талдоо, долбоорду иштеп чыгуучуларга маалымат жеткирүү жана орчундуу маселелерди чечүү үчүн кызматташууну координациялоо үчүн өзүнчө инженерлер тобу түзүлөт. Бул команданын негизги милдети жалган позитивдерди четке кагуу жана автоматташтырылган отчеттордогу чыныгы аялуу жерлерди аныктоо болот.
Альфа стадиясында кол менен аудит жүргүзүү зарылчылыгы автоматташтырылган тестирлөө учурунда аныктоо кыйын болгон жашыруун көйгөйлөрдү аныктоо зарылдыгы менен шартталган. Мындай көйгөйлөрдүн мисалы катары Log4jдеги акыркы сындуу алсыздыктар келтирилген, алар көп сандагы ири компаниялардын инфраструктурасына коркунуч келтирген. Аудит үчүн долбоорлор эксперттик коомчулуктун сунуштарын жана мурда түзүлгөн Критикалык баллдын жана Эл каттоонун рейтингдеринин маалыматтарын эске алуу менен тандалат.
Эске сала кетсек, OpenSSF фонду уюмдун колдоосу астында түзүлгөн Linux OpenSSF Фонду координацияланган алсыздыкты ачыктоого, патчтарды жайылтууга, коопсуздук куралдарын иштеп чыгууга, коопсуз иштеп чыгуу үчүн эң мыкты тажрыйбаларды жарыялоого, ачык булактуу программалык камсыздоодогу коопсуздук коркунучтарын аныктоого, маанилүү ачык булактуу долбоорлорду аудиттөөгө жана бекемдөөгө, ошондой эле иштеп чыгуучулардын инсандыгын текшерүү үчүн куралдарды түзүүгө басым жасайт. OpenSSF Core Infrastructure Initiative жана Open Source Security Coalition сыяктуу демилгелерге таянып, долбоорго кошулган компаниялар тарабынан жүргүзүлгөн башка коопсуздукка байланыштуу иштерди бириктирет. OpenSSFтин негиздөөчү компанияларына Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk жана VMware кирет.
Source: opennet.ru
