D'OpenSSF (Open Source Security Foundation) huet den Alpha-Omega Projet agefouert, fir d'Sécherheet vun der Open Source Software ze verbesseren. Éischt Investitioune fir d'Entwécklung vum Projet am Betrag vun $ 5 Milliounen a Personal fir d'Initiativ ze lancéieren ginn vu Google a Microsoft geliwwert. Aner Organisatiounen ginn och encouragéiert fir matzemaachen, souwuel duerch d'Bereetstellung vun Ingenieurstalent wéi och um Finanzéierungsniveau, wat hëlleft d'Zuel vun Open Source Projeten auszebauen, déi vun der Initiativ ofgedeckt ginn. Zousätzlech, um Enn vum leschte Joer, goufen $ 10 Milliounen fir d'Aarbecht vun der OpenSSF Foundation zougewisen; ob dës Fongen fir d'Alpha-Omega Initiativ benotzt ginn ass net spezifizéiert.
Den Alpha-Omega Projet besteet aus zwee Komponenten:
- En Deel vun Alpha beinhalt d'Ausféierung vun engem manuelle Sécherheetsaudit vun 200 wäit verbreet Open Source Projeten, déi populär fir hir Benotzung a Form vun Ofhängegkeeten oder Infrastrukturelementer. D'Aarbecht gëtt an Zesummenaarbecht mat Instandhalter duerchgefouert a wäert eng systematesch Analyse vum Code enthalen fir nei Schwachstelle z'identifizéieren a séier ze fixéieren.
- En Deel vun Omega konzentréiert sech op d'Ausféierung vun automatiséierten Tester vun den 10 Tausend populäersten Open Source Projeten. Eng separat Team vun Ingenieuren gëtt geschaf fir Tester ze maachen, d'Methoden ze verbesseren, d'Testresultater analyséieren, d'Informatioun un d'Projetentwéckler ze kommunizéieren an d'Zesummenaarbecht ze koordinéieren fir kritesch Probleemer ze léisen. D'Haaptaufgab vun dësem Team ass falsch Positiver ze refuséieren an real Schwachstelle bei automatiséierte Berichter z'identifizéieren.
De Besoin fir e manuellen Audit op der Alpha-Bühn ass wéinst der Bedierfnes fir verstoppte Probleemer z'identifizéieren déi problematesch sinn ze identifizéieren während automatiséierter Tester. Als Beispill vu sou Problemer ginn rezent kritesch Schwachstelle bei Log4j genannt, déi d'Infrastruktur vun enger grousser Zuel vu grousse Firmen a Gefor bruecht hunn. Projete fir Audit ginn ausgewielt andeems d'Empfehlungen vun der Expertgemeinschaft an Daten aus de virdru generéierte Critical Score a Census Bewäertungen berücksichtegt ginn.
Als Erënnerung gouf d'OpenSSF ënner der Regie vun der Linux Foundation erstallt a konzentréiert sech op Aarbecht a Beräicher wéi koordinéiert Schwachstelle Verëffentlechung, Patchverdeelung, Sécherheetsinstrument Entwécklung, Verëffentlechung vu beschten Praktiken fir sécher Entwécklung, Identifikatioun vu Sécherheetsbedrohungen an der oppener Software, Aarbecht op Audit ausféieren an d'Sécherheet vu kriteschen Open Source Projeten stäerken, Tools erstellen fir d'Identitéit vun den Entwéckler z'iwwerpréiwen. OpenSSF entwéckelen weider Initiativen wéi d'Core Infrastructure Initiative an d'Open Source Security Coalition, an integréiert och aner Sécherheetsbezunnen Aarbecht, déi vu Firmen gemaach gëtt, déi de Projet ugeschloss hunn. OpenSSF Grënnungsfirmen enthalen Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk a VMware.
Source: opennet.ru