Ipinakilala ng OpenSSF (Open Source Security Foundation) ang proyektong Alpha-Omega, na naglalayong pahusayin ang seguridad ng open source software. Ang mga paunang pamumuhunan para sa pagbuo ng proyekto sa halagang $5 milyon at mga tauhan upang ilunsad ang inisyatiba ay ibibigay ng Google at Microsoft. Hinihikayat din ang ibang mga organisasyon na lumahok, kapwa sa pamamagitan ng pagbibigay ng talento sa engineering at sa antas ng pagpopondo, na makakatulong sa pagpapalawak ng bilang ng mga open source na proyekto na sasakupin ng inisyatiba. Bilang karagdagan, sa pagtatapos ng nakaraang taon, $10 milyon ang inilaan para sa gawain ng OpenSSF Foundation; kung ang mga pondong ito ay gagamitin para sa Alpha-Omega initiative ay hindi tinukoy.
Ang proyektong Alpha-Omega ay binubuo ng dalawang bahagi:
- Kabilang sa bahagi ng Alpha ang pagsasagawa ng manu-manong pag-audit sa seguridad ng 200 malawakang ginagamit na open source na mga proyekto, pinakasikat para sa kanilang paggamit sa anyo ng mga dependency o mga elemento ng imprastraktura. Isasagawa ang gawain sa pakikipagtulungan sa mga maintainer at isasama ang sistematikong pagsusuri ng code upang matukoy ang mga bagong kahinaan at mabilis na ayusin ang mga ito.
- Ang bahagi ng Omega ay nakatuon sa pagsasagawa ng awtomatikong pagsubok sa 10 libong pinakasikat na open source na proyekto. Ang isang hiwalay na pangkat ng mga inhinyero ay gagawin upang magsagawa ng pagsubok, pagbutihin ang mga pamamaraan na ginamit, pag-aralan ang mga resulta ng pagsubok, makipag-usap ng impormasyon sa mga developer ng proyekto at makipag-ugnayan sa pakikipagtulungan upang malutas ang mga kritikal na problema. Ang pangunahing gawain ng pangkat na ito ay tanggihan ang mga maling positibo at tukuyin ang mga tunay na kahinaan sa mga automated na ulat.
Ang pangangailangan para sa isang manu-manong pag-audit sa yugto ng Alpha ay dahil sa pangangailangang tukuyin ang mga nakatagong problema na may problemang matukoy sa panahon ng awtomatikong pagsubok. Bilang halimbawa ng mga ganitong problema, binanggit ang kamakailang mga kritikal na kahinaan sa Log4j, na nagsapanganib sa imprastraktura ng malaking bilang ng malalaking kumpanya. Ang mga proyekto para sa pag-audit ay pipiliin na isinasaalang-alang ang mga rekomendasyon ng ekspertong komunidad at data mula sa naunang nabuong Kritikal na Marka at mga rating ng Census.
Bilang paalala, ang OpenSSF ay nilikha sa ilalim ng tangkilik ng Linux Foundation at nakatutok sa trabaho sa mga lugar tulad ng coordinated vulnerability disclosure, patch distribution, security tool development, publishing best practices for secure development, pagtukoy ng mga banta sa seguridad sa open Software, pagsasagawa ng trabaho sa pag-audit at pagpapalakas ng seguridad ng mga kritikal na open source na proyekto, paglikha ng mga tool para sa pag-verify ng pagkakakilanlan ng mga developer. Ang OpenSSF ay patuloy na bumubuo ng mga inisyatiba tulad ng Core Infrastructure Initiative at ang Open Source Security Coalition, at isinasama rin ang iba pang gawaing nauugnay sa seguridad na isinagawa ng mga kumpanyang sumali sa proyekto. Kasama sa mga nagtatag na kumpanya ng OpenSSF ang Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk at VMware.
Pinagmulan: opennet.ru