OpenSSF (Open Source Security Foundation) introduserte Alpha-Omega-prosjektet, rettet mot å forbedre sikkerheten til åpen kildekode-programvare. Innledende investeringer for utviklingen av prosjektet på $5 millioner og personell for å lansere initiativet vil bli levert av Google og Microsoft. Andre organisasjoner oppfordres også til å delta, både gjennom å tilby ingeniørtalent og på finansieringsnivå, noe som vil bidra til å utvide antallet åpen kildekode-prosjekter som vil dekkes av initiativet. I tillegg ble det på slutten av fjoråret bevilget 10 millioner dollar til arbeidet til OpenSSF Foundation; hvorvidt disse midlene vil bli brukt til Alpha-Omega-initiativet er ikke spesifisert.
Alpha-Omega-prosjektet består av to komponenter:
- En del av Alpha innebærer å gjennomføre en manuell sikkerhetsrevisjon av 200 mye brukte åpen kildekode-prosjekter, mest populære for deres bruk i form av avhengigheter eller infrastrukturelementer. Arbeidet vil bli utført i samarbeid med vedlikeholdere og vil inkludere systematisk analyse av koden for å identifisere nye sårbarheter og raskt fikse dem.
- En del av Omega er fokusert på å utføre automatisert testing av de 10 tusen mest populære åpen kildekode-prosjektene. Et eget team av ingeniører vil bli opprettet for å gjennomføre testing, forbedre metodene som brukes, analysere testresultater, kommunisere informasjon til prosjektutviklere og koordinere samarbeid for å løse kritiske problemer. Hovedoppgaven til dette teamet vil være å avvise falske positiver og identifisere reelle sårbarheter i automatiserte rapporter.
Behovet for manuell revisjon på Alpha-stadiet skyldes behovet for å identifisere skjulte problemer som er problematiske å identifisere under automatisert testing. Som eksempel på slike problemer nevnes nylige kritiske sårbarheter i Log4j, som satte infrastrukturen til et stort antall store selskaper i fare. Prosjekter for revisjon vil bli valgt under hensyntagen til anbefalingene fra ekspertmiljøet og data fra de tidligere genererte Critical Score og Census-vurderingene.
Som en påminnelse ble OpenSSF opprettet i regi av Linux Foundation og er fokusert på arbeid innen områder som koordinert avsløring av sårbarheter, distribusjon av oppdateringer, utvikling av sikkerhetsverktøy, publisering av beste praksis for sikker utvikling, identifisering av sikkerhetsrelaterte trusler i det fri. Programvare, utføre arbeid med revisjon og styrke sikkerheten til kritiske åpen kildekode-prosjekter, lage verktøy for å verifisere identiteten til utviklere. OpenSSF fortsetter å utvikle initiativer som Core Infrastructure Initiative og Open Source Security Coalition, og integrerer også annet sikkerhetsrelatert arbeid utført av selskaper som har sluttet seg til prosjektet. OpenSSFs grunnleggende selskaper inkluderer Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk og VMware.
Kilde: opennet.ru