มูลนิธิ OpenSSF (Open Source Security Foundation) ได้เปิดตัวโครงการ Alpha-Omega ซึ่งมีเป้าหมายเพื่อปรับปรุงความปลอดภัยของซอฟต์แวร์โอเพนซอร์ส Google และ Microsoft จะลงทุนเริ่มต้น 5 ล้านดอลลาร์สหรัฐ เพื่อสนับสนุนการพัฒนาและบุคลากรของโครงการริเริ่มนี้ องค์กรอื่นๆ ก็ได้รับเชิญให้เข้าร่วมด้วยเช่นกัน ทั้งในด้านบุคลากรด้านวิศวกรรมและด้านการเงิน ซึ่งจะช่วยขยายจำนวนโครงการโอเพนซอร์สที่ครอบคลุมโดยโครงการริเริ่มนี้ นอกจากนี้ ในช่วงปลายปีที่ผ่านมา มีการจัดสรรเงิน 10 ล้านดอลลาร์สหรัฐ ให้กับงานของมูลนิธิ OpenSSF แต่ยังไม่ได้ระบุว่าเงินทุนเหล่านี้จะถูกนำไปใช้กับโครงการ Alpha-Omega หรือไม่
โครงการอัลฟา-โอเมก้าประกอบด้วยสองส่วน:
- ส่วนอัลฟ่าของโครงการนี้เกี่ยวข้องกับการตรวจสอบความปลอดภัยด้วยตนเองของโครงการโอเพนซอร์สที่ใช้งานกันอย่างแพร่หลายจำนวน 200 โครงการ ซึ่งส่วนใหญ่เป็นที่นิยมในแง่ของการใช้งานเป็นส่วนประกอบหรือองค์ประกอบโครงสร้างพื้นฐาน งานนี้จะดำเนินการร่วมกับผู้ดูแลโครงการ และจะรวมถึงการวิเคราะห์โค้ดอย่างเป็นระบบเพื่อระบุช่องโหว่ใหม่ๆ และแก้ไขช่องโหว่เหล่านั้นอย่างรวดเร็ว
- ส่วนหนึ่งของโครงการโอเมก้าจะมุ่งเน้นไปที่การทดสอบอัตโนมัติของโครงการโอเพนซอร์สยอดนิยมกว่า 10 โครงการ จะมีการจัดตั้งทีมวิศวกรเฉพาะกิจขึ้นเพื่อทำการทดสอบ ปรับปรุงวิธีการที่ใช้ วิเคราะห์ผลการทดสอบ สื่อสารข้อมูลไปยังผู้พัฒนาโครงการ และประสานงานความร่วมมือเพื่อแก้ไขปัญหาที่สำคัญ ภารกิจหลักของทีมนี้คือการกรองผลลัพธ์ที่ผิดพลาด (false positives) และระบุช่องโหว่ที่แท้จริงในรายงานอัตโนมัติ
การตรวจสอบด้วยตนเองในขั้นตอนอัลฟ่ามีความจำเป็นเพื่อระบุปัญหาที่ซ่อนอยู่ซึ่งยากต่อการตรวจจับผ่านการทดสอบอัตโนมัติ ช่องโหว่ร้ายแรงล่าสุดใน Log4j ซึ่งส่งผลกระทบต่อโครงสร้างพื้นฐานของบริษัทขนาดใหญ่จำนวนมาก ถูกยกมาเป็นตัวอย่างของปัญหาดังกล่าว โครงการที่จะได้รับการตรวจสอบจะถูกเลือกโดยพิจารณาจากคำแนะนำจากชุมชนผู้เชี่ยวชาญและข้อมูลจากคะแนน Critically Score และ Census ที่รวบรวมไว้ก่อนหน้านี้
ขอแจ้งให้ทราบอีกครั้งว่า มูลนิธิ OpenSSF ก่อตั้งขึ้นภายใต้การอุปถัมภ์ขององค์กรดังกล่าว Linux OpenSSF เป็นองค์กรที่มุ่งเน้นการทำงานในด้านต่างๆ เช่น การเปิดเผยช่องโหว่ที่ประสานงานกัน การแจกจ่ายแพทช์ การพัฒนาเครื่องมือรักษาความปลอดภัย การเผยแพร่แนวทางปฏิบัติที่ดีที่สุดสำหรับการพัฒนาที่ปลอดภัย การระบุภัยคุกคามด้านความปลอดภัยในซอฟต์แวร์โอเพนซอร์ส การตรวจสอบและเสริมความแข็งแกร่งให้กับโครงการโอเพนซอร์สที่สำคัญ และการสร้างเครื่องมือสำหรับการตรวจสอบตัวตนของนักพัฒนา OpenSSF ยังคงพัฒนาโครงการริเริ่มต่างๆ เช่น Core Infrastructure Initiative และ Open Source Security Coalition และบูรณาการงานด้านความปลอดภัยอื่นๆ ที่ดำเนินการโดยบริษัทต่างๆ ที่เข้าร่วมโครงการ บริษัทผู้ก่อตั้ง OpenSSF ได้แก่ Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk และ VMware
ที่มา: opennet.ru
