OpenSSF (Open Source Security Foundation) ieviesa Alpha-Omega projektu, kura mērķis ir uzlabot atvērtā pirmkoda programmatūras drošību. Sākotnējās investīcijas projekta attīstībai 5 miljonu ASV dolāru apmērā un personālu iniciatīvas uzsākšanai nodrošinās Google un Microsoft. Arī citas organizācijas tiek mudinātas piedalīties, gan nodrošinot inženieru talantus, gan finansējuma līmenī, kas palīdzēs paplašināt atvērtā pirmkoda projektu skaitu, uz kuriem tiks attiecināta iniciatīva. Turklāt pagājušā gada nogalē OpenSSF fonda darbam tika atvēlēti 10 miljoni dolāru, vai šie līdzekļi tiks izmantoti iniciatīvai Alpha-Omega, netiek precizēts.
Alpha-Omega projekts sastāv no divām sastāvdaļām:
- Daļa Alpha ietver manuālu drošības audita veikšanu 200 plaši izmantotiem atvērtā pirmkoda projektiem, kas ir vispopulārākie to izmantošanas atkarību vai infrastruktūras elementu veidā. Darbs tiks veikts sadarbībā ar uzturētājiem un ietvers sistemātisku koda analīzi, lai identificētu jaunas ievainojamības un ātri tās novērstu.
- Daļa Omega ir vērsta uz 10 tūkstošu populārāko atvērtā pirmkoda projektu automatizētas testēšanas veikšanu. Tiks izveidota atsevišķa inženieru komanda, kas veiks testēšanu, uzlabos izmantotās metodes, analizēs testu rezultātus, paziņos informāciju projektu izstrādātājiem un koordinēs sadarbību, lai atrisinātu kritiskas problēmas. Šīs komandas galvenais uzdevums būs noraidīt viltus pozitīvus rezultātus un identificēt reālas ievainojamības automatizētajos ziņojumos.
Manuāla audita nepieciešamība alfa stadijā ir saistīta ar nepieciešamību identificēt slēptās problēmas, kuras ir problemātiski identificēt automatizētās testēšanas laikā. Kā šādu problēmu piemērs tiek minētas nesenās Log4j kritiskās ievainojamības, kas apdraudēja daudzu lielu uzņēmumu infrastruktūru. Projekti auditam tiks atlasīti, ņemot vērā ekspertu kopienas ieteikumus un datus no iepriekš ģenerētajiem kritiskajiem rādītājiem un tautas skaitīšanas reitingiem.
Atgādinām, ka OpenSSF tika izveidots Linux fonda paspārnē un ir vērsts uz darbu tādās jomās kā koordinēta ievainojamību atklāšana, ielāpu izplatīšana, drošības rīku izstrāde, labākās prakses publicēšana drošai izstrādes organizācijai, drošības identificēšana. -saistīti draudi atvērtajā Programmatūrā, veicot darbu pie kritisko atvērtā koda projektu auditēšanas un drošības stiprināšanas, veidojot rīkus izstrādātāju identitātes pārbaudei. OpenSSF turpina attīstīt tādas iniciatīvas kā Core Infrastructure Initiative un Open Source Security Coalition, kā arī integrē citus ar drošību saistītus darbus, ko veic uzņēmumi, kas ir pievienojušies projektam. OpenSSF dibinātāju vidū ir Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk un VMware.
Avots: opennet.ru