Ipinakilala ng OpenSSF (Open Source Security Foundation) ang proyektong Alpha-Omega, na naglalayong pahusayin ang seguridad ng open source software. Ang mga paunang pamumuhunan para sa pagbuo ng proyekto sa halagang $5 milyon at mga tauhan upang ilunsad ang inisyatiba ay ibibigay ng Google at Microsoft. Hinihikayat din ang ibang mga organisasyon na lumahok, kapwa sa pamamagitan ng pagbibigay ng talento sa engineering at sa antas ng pagpopondo, na makakatulong sa pagpapalawak ng bilang ng mga open source na proyekto na sasakupin ng inisyatiba. Bilang karagdagan, sa pagtatapos ng nakaraang taon, $10 milyon ang inilaan para sa gawain ng OpenSSF Foundation; kung ang mga pondong ito ay gagamitin para sa Alpha-Omega initiative ay hindi tinukoy.
Ang proyektong Alpha-Omega ay binubuo ng dalawang bahagi:
- Kabilang sa bahagi ng Alpha ang pagsasagawa ng manu-manong pag-audit sa seguridad ng 200 malawakang ginagamit na open source na mga proyekto, pinakasikat para sa kanilang paggamit sa anyo ng mga dependency o mga elemento ng imprastraktura. Isasagawa ang gawain sa pakikipagtulungan sa mga maintainer at isasama ang sistematikong pagsusuri ng code upang matukoy ang mga bagong kahinaan at mabilis na ayusin ang mga ito.
- Ang bahagi ng Omega ay nakatuon sa pagsasagawa ng awtomatikong pagsubok sa 10 libong pinakasikat na open source na proyekto. Ang isang hiwalay na pangkat ng mga inhinyero ay gagawin upang magsagawa ng pagsubok, pagbutihin ang mga pamamaraan na ginamit, pag-aralan ang mga resulta ng pagsubok, makipag-usap ng impormasyon sa mga developer ng proyekto at makipag-ugnayan sa pakikipagtulungan upang malutas ang mga kritikal na problema. Ang pangunahing gawain ng pangkat na ito ay tanggihan ang mga maling positibo at tukuyin ang mga tunay na kahinaan sa mga automated na ulat.
Ang pangangailangan para sa isang manu-manong pag-audit sa yugto ng Alpha ay dahil sa pangangailangang tukuyin ang mga nakatagong problema na may problemang matukoy sa panahon ng awtomatikong pagsubok. Bilang halimbawa ng mga ganitong problema, binanggit ang kamakailang mga kritikal na kahinaan sa Log4j, na nagsapanganib sa imprastraktura ng malaking bilang ng malalaking kumpanya. Ang mga proyekto para sa pag-audit ay pipiliin na isinasaalang-alang ang mga rekomendasyon ng ekspertong komunidad at data mula sa naunang nabuong Kritikal na Marka at mga rating ng Census.
Ipaalala namin sa inyo na ang OpenSSF Foundation ay itinatag sa ilalim ng pangangasiwa ng organisasyon. Linux Ang pundasyon at nakatuon sa trabaho sa mga larangan tulad ng koordinadong pagsisiwalat ng kahinaan, pamamahagi ng patch, pagbuo ng mga tool sa seguridad, paglalathala ng mga pinakamahusay na kasanayan para sa ligtas na pag-develop, pagtukoy ng mga banta sa seguridad sa open source software, pag-audit at pagpapatibay ng mga kritikal na proyekto ng open source, at paglikha ng mga tool para sa pag-verify ng pagkakakilanlan ng mga developer. Ipinagpapatuloy ng OpenSSF ang pagbuo ng mga inisyatibo tulad ng Core Infrastructure Initiative at ang Open Source Security Coalition at isinasama ang iba pang gawaing may kaugnayan sa seguridad na isinasagawa ng mga kumpanyang sumali sa proyekto. Kabilang sa mga kumpanyang nagtatag ng OpenSSF ang Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk, at VMware.
Pinagmulan: opennet.ru
