De OpenSSF (Open Source Security Foundation) introduceerde het Alpha-Omega-project, gericht op het verbeteren van de beveiliging van open source software. De initiële investeringen voor de ontwikkeling van het project ter waarde van 5 miljoen dollar en het personeel om het initiatief te lanceren zullen worden geleverd door Google en Microsoft. Andere organisaties worden ook aangemoedigd om deel te nemen, zowel door het aanbieden van technisch talent als op financieringsniveau, wat zal bijdragen aan de uitbreiding van het aantal open source-projecten dat onder het initiatief zal vallen. Bovendien werd eind vorig jaar 10 miljoen dollar toegewezen voor het werk van de OpenSSF Foundation; of deze fondsen zullen worden gebruikt voor het Alpha-Omega-initiatief is niet gespecificeerd.
Het Alpha-Omega-project bestaat uit twee componenten:
- Onderdeel van Alpha is het uitvoeren van een handmatige beveiligingsaudit van 200 veelgebruikte open source-projecten, die het populairst zijn vanwege hun gebruik in de vorm van afhankelijkheden of infrastructuurelementen. Het werk zal worden uitgevoerd in samenwerking met beheerders en omvat systematische codeanalyse om nieuwe kwetsbaarheden te identificeren en deze snel op te lossen.
- Een deel van Omega richt zich op het geautomatiseerd testen van de 10 populairste open source-projecten. Er zal een apart team van ingenieurs worden opgericht om tests uit te voeren, de gebruikte methoden te verbeteren, testresultaten te analyseren, informatie aan projectontwikkelaars te communiceren en de samenwerking te coördineren om kritieke problemen op te lossen. De belangrijkste taak van dit team zal het afwijzen van valse positieven zijn en het identificeren van echte kwetsbaarheden in geautomatiseerde rapporten.
De behoefte aan een handmatige audit in de Alpha-fase komt voort uit de noodzaak om verborgen problemen te identificeren die tijdens geautomatiseerd testen problematisch zijn om te identificeren. Als voorbeeld van dergelijke problemen worden recente kritieke kwetsbaarheden in Log4j genoemd, die de infrastructuur van een groot aantal grote bedrijven in gevaar brachten. Projecten voor audit zullen worden geselecteerd, rekening houdend met de aanbevelingen van de deskundigengemeenschap en gegevens uit de eerder gegenereerde Critical Score- en Census-beoordelingen.
Ter herinnering: de OpenSSF is opgericht onder auspiciën van de Linux Foundation en is gericht op werk op gebieden als de gecoördineerde openbaarmaking van kwetsbaarheden, de distributie van patches, de ontwikkeling van beveiligingstools, het publiceren van best practices voor veilige ontwikkeling, het identificeren van veiligheidsbedreigingen in de open software, het uitvoeren van werkzaamheden op het gebied van auditing en versterking van de beveiliging van cruciale open source-projecten, en het creëren van tools voor het verifiëren van de identiteit van ontwikkelaars. OpenSSF blijft initiatieven ontwikkelen zoals het Core Infrastructure Initiative en de Open Source Security Coalition, en integreert ook ander veiligheidsgerelateerd werk van bedrijven die zich bij het project hebben aangesloten. De oprichters van OpenSSF zijn onder meer Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk en VMware.
Bron: opennet.ru