OpenSSF (Open Source Security Foundation) introducerade Alpha-Omega-projektet, som syftar till att förbättra säkerheten för programvara med öppen källkod. Initiala investeringar för utvecklingen av projektet till ett belopp av $5 miljoner och personal för att lansera initiativet kommer att tillhandahållas av Google och Microsoft. Andra organisationer uppmuntras också att delta, både genom att tillhandahålla ingenjörstalang och på finansieringsnivå, vilket kommer att bidra till att utöka antalet projekt med öppen källkod som kommer att omfattas av initiativet. I slutet av förra året anslogs dessutom 10 miljoner dollar till OpenSSF Foundations arbete, huruvida dessa medel kommer att användas för Alpha-Omega-initiativet är inte specificerat.
Alpha-Omega-projektet består av två komponenter:
- En del av Alpha innebär att man genomför en manuell säkerhetsgranskning av 200 allmänt använda open source-projekt, mest populära för deras användning i form av beroenden eller infrastrukturelement. Arbetet kommer att utföras i samarbete med underhållare och kommer att innefatta systematisk analys av koden för att identifiera nya sårbarheter och snabbt åtgärda dem.
- En del av Omega är fokuserad på att utföra automatiserade tester av de 10 tusen mest populära open source-projekten. Ett separat team av ingenjörer kommer att skapas för att genomföra tester, förbättra de använda metoderna, analysera testresultat, kommunicera information till projektutvecklare och koordinera samarbeten för att lösa kritiska problem. Huvuduppgiften för detta team kommer att vara att avvisa falska positiva resultat och identifiera verkliga sårbarheter i automatiserade rapporter.
Behovet av en manuell granskning i Alpha-stadiet beror på behovet av att identifiera dolda problem som är problematiska att identifiera under automatiserad testning. Som exempel på sådana problem nämns nyligen kritiska sårbarheter i Log4j, som äventyrade infrastrukturen hos ett stort antal stora företag. Projekt för revision kommer att väljas ut med hänsyn till expertgruppens rekommendationer och data från de tidigare genererade Critical Score och Census-betygen.
Som en påminnelse skapades OpenSSF under Linux Foundations regi och är inriktat på arbete inom områden som samordnad avslöjande av sårbarheter, distribution av patchar, utveckling av säkerhetsverktyg, publicering av bästa praxis för säker utvecklingsorganisation, identifiering av säkerhet -relaterade hot i den öppna programvaran, utföra arbete med att granska och stärka säkerheten för kritiska projekt med öppen källkod, skapa verktyg för att verifiera utvecklarnas identitet. OpenSSF fortsätter att utveckla initiativ som Core Infrastructure Initiative och Open Source Security Coalition, och integrerar även annat säkerhetsrelaterat arbete som utförs av företag som har anslutit sig till projektet. OpenSSF:s grundande företag inkluderar Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk och VMware.
Källa: opennet.ru