Фонд OpenSSF (Open Source Security Foundation) представив проект Alpha-Omega, орієнтований на підвищення безпеки відкритого ПЗ. Початкові інвестиції для розвитку проекту в розмірі 5 млн. доларів і персонал для запуску ініціативи нададуть компанії Google і Microsoft. До участі також запрошуються інші організації, які можуть взяти участь як через надання інженерних кадрів, так і на рівні фінансування, що допоможе розширити кількість відкритих проектів, на які поширюватиметься ініціатива. Крім того, наприкінці минулого року на роботу Фонду OpenSSF було виділено 10 млн доларів, чи будуть використані ці кошти для ініціатива Alpha-Omega не уточнюється.
Проект Alpha-Omega складається з двох складових:
- Частина Alpha передбачає проведення ручного аудиту безпеки 200 відкритих проектів, що широко використовуються, найбільш популярних з позиції їх використання у формі залежностей або в елементах інфраструктури. Робота вестиметься у співпраці з супроводжуючими та включатиме систематичний аналіз коду для виявлення нових вразливостей та їх оперативного виправлення.
- Частина Omega сфокусована на проведенні автоматизованого тестування 10 тисяч найпопулярніших відкритих проектів. Для проведення тестування, удосконалення методів, аналізу результатів перевірки, доведення інформації до розробників проектів та координації спільної роботи з усунення критичних проблем буде створено окрему команду інженерів. Основним завданням цієї команди буде відкидання помилкових спрацьовувань та виявлення в автоматизованих звітах реальних уразливостей.
Необхідність ручного аудиту на стадії Alpha обумовлена ??необхідністю виявлення прихованих проблем, які проблематично виявити в ході автоматизованого тестування. Як приклад таких проблем згадуються недавні критичні вразливості Log4j, що поставили під удар інфраструктури великої кількості великих компаній. Проекти для аудиту будуть відібрані з урахуванням рекомендацій експертної спільноти та даних із раніше сформованих рейтингів Critically Score та Census.
Нагадаємо, що Фонд OpenSSF створений під егідою організації Linux Foundation і зосереджений на роботі в таких галузях, як скоординоване розкриття інформації про вразливості, поширення виправлень, розробка інструментів для забезпечення безпеки, публікація найкращих практик щодо безпечної організації розробки, виявлення пов'язаних з безпекою загроз у відкритому ПЗ, проведення роботи з аудиту та посилення безпеки критично важливих відкритих проектів, створення засобів для перевірки ідентичності розробників. OpenSSF продовжує розвиток таких ініціатив, як Core Infrastructure Initiative та Open Source Security Coalition, а також об'єднує й інші пов'язані з безпекою роботи, що робляться компаніями, що приєдналися до проекту. До компаній-засновників OpenSSF входять Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk та VMware.
Джерело: opennet.ru