OpenSSF (Open Source Security Foundation) je predstavil projekt Alpha-Omega, namenjen izboljšanju varnosti odprtokodne programske opreme. Začetne naložbe za razvoj projekta v višini 5 milijonov dolarjev in osebje za zagon pobude bosta zagotovila Google in Microsoft. K sodelovanju se spodbujajo tudi druge organizacije, tako z zagotavljanjem inženirskih talentov kot na ravni financiranja, kar bo pomagalo povečati število odprtokodnih projektov, ki jih bo zajemala pobuda. Poleg tega je bilo konec lanskega leta za delo fundacije OpenSSF dodeljenih 10 milijonov dolarjev; ali bodo ta sredstva uporabljena za pobudo Alpha-Omega, ni navedeno.
Projekt Alpha-Omega je sestavljen iz dveh komponent:
- Del Alpha vključuje izvedbo ročne varnostne revizije 200 široko uporabljenih odprtokodnih projektov, ki so najbolj priljubljeni zaradi uporabe v obliki odvisnosti ali infrastrukturnih elementov. Delo bo potekalo v sodelovanju z vzdrževalci in bo vključevalo sistematično analizo kode za prepoznavanje novih ranljivosti in njihovo hitro odpravo.
- Del Omege je osredotočen na izvajanje avtomatiziranega testiranja 10 tisoč najbolj priljubljenih odprtokodnih projektov. Ustanovljena bo posebna skupina inženirjev, ki bo izvajala testiranje, izboljšala uporabljene metode, analizirala rezultate testov, posredovala informacije razvijalcem projektov in usklajevala sodelovanje pri reševanju kritičnih težav. Glavna naloga te ekipe bo zavračanje lažnih pozitivnih rezultatov in prepoznavanje resničnih ranljivosti v avtomatiziranih poročilih.
Potreba po ročni reviziji na stopnji alfa je posledica potrebe po prepoznavanju skritih težav, ki jih je med samodejnim testiranjem težko prepoznati. Kot primer tovrstnih težav so omenjene nedavne kritične ranljivosti v Log4j, ki so ogrozile infrastrukturo velikega števila velikih podjetij. Projekti za revizijo bodo izbrani ob upoštevanju priporočil strokovne javnosti in podatkov iz predhodno generiranih kritičnih ocen in ocen popisa.
Spomnimo, OpenSSF je nastal pod okriljem fundacije Linux in je osredotočen na delo na področjih, kot so usklajeno razkrivanje ranljivosti, distribucija popravkov, razvoj varnostnih orodij, objavljanje najboljših praks za varen razvoj, prepoznavanje varnostnih groženj v odprti programski opremi, izvajanje del na področju revizije in krepitve varnosti kritičnih odprtokodnih projektov, izdelava orodij za preverjanje identitete razvijalcev. OpenSSF še naprej razvija pobude, kot sta Core Infrastructure Initiative in Open Source Security Coalition, ter vključuje tudi druga dela, povezana z varnostjo, ki jih izvajajo podjetja, ki so se pridružila projektu. Med ustanovnimi podjetji OpenSSF so Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk in VMware.
Vir: opennet.ru