OpenSSF (اوپن سورس سیکیورٹی فاؤنڈیشن) نے الفا-اومیگا پروجیکٹ کی نقاب کشائی کی ہے، جس کا مقصد اوپن سورس سافٹ ویئر کی سیکیورٹی کو بہتر بنانا ہے۔ گوگل اور مائیکروسافٹ اس منصوبے کی ترقی اور اس اقدام کو شروع کرنے کے لیے عملے کے لیے ابتدائی $5 ملین کی سرمایہ کاری فراہم کریں گے۔ دیگر تنظیموں کو بھی شرکت کے لیے مدعو کیا گیا ہے، دونوں انجینئرنگ عملے کے ذریعے اور فنڈنگ کے ذریعے، جو اس پہل کے زیر احاطہ اوپن سورس پروجیکٹس کی تعداد کو بڑھانے میں مدد کرے گی۔ مزید برآں، پچھلے سال کے آخر میں، OpenSSF فاؤنڈیشن کے کام کے لیے $10 ملین مختص کیے گئے تھے۔ یہ فنڈز الفا اومیگا اقدام کے لیے استعمال کیے جائیں گے یا نہیں اس کی وضاحت نہیں کی گئی ہے۔
الفا اومیگا پروجیکٹ دو اجزاء پر مشتمل ہے:
- پروجیکٹ کے الفا حصے میں 200 وسیع پیمانے پر استعمال ہونے والے اوپن سورس پروجیکٹس کا دستی سیکیورٹی آڈٹ کرنا شامل ہے، جو انحصار کے طور پر یا بنیادی ڈھانچے کے عناصر میں استعمال کے لحاظ سے سب سے زیادہ مقبول ہیں۔ یہ کام دیکھ بھال کرنے والوں کے ساتھ مل کر کیا جائے گا اور اس میں نئی کمزوریوں کی نشاندہی کرنے اور انہیں فوری طور پر پیچ کرنے کے لیے منظم کوڈ کا تجزیہ شامل کیا جائے گا۔
- اومیگا کا حصہ 10 مقبول ترین اوپن سورس پروجیکٹس کی خودکار جانچ پر مرکوز ہے۔ انجینئرز کی ایک سرشار ٹیم ٹیسٹنگ کرنے، استعمال شدہ طریقوں کو بہتر بنانے، ٹیسٹ کے نتائج کا تجزیہ کرنے، پروجیکٹ ڈویلپرز کو معلومات فراہم کرنے، اور اہم مسائل کو حل کرنے کے لیے باہمی تعاون کی کوششوں کو مربوط کرنے کے لیے بنائی جائے گی۔ اس ٹیم کا بنیادی کام غلط مثبت کو فلٹر کرنا اور خودکار رپورٹس میں حقیقی کمزوریوں کی نشاندہی کرنا ہوگا۔
الفا مرحلے پر دستی آڈیٹنگ چھپے ہوئے مسائل کی نشاندہی کرنے کے لیے ضروری ہے جن کا خودکار جانچ کے ذریعے پتہ لگانا مشکل ہے۔ Log4j میں حالیہ اہم کمزوریاں، جنہوں نے بڑی تعداد میں بڑی کمپنیوں کے بنیادی ڈھانچے سے سمجھوتہ کیا، کو ایسے مسائل کی ایک مثال کے طور پر پیش کیا جاتا ہے۔ آڈٹ کے لیے پراجیکٹس کا انتخاب ماہر برادری کی سفارشات اور پہلے مرتب کیے گئے تنقیدی اسکور اور مردم شماری کی درجہ بندیوں کے ڈیٹا کی بنیاد پر کیا جائے گا۔
Напомним, что Фонд OpenSSF создан под эгидой организации Linux Foundation и сосредоточен на работе в таких областях, как скоординированное раскрытие информации об уязвимостях, распространение исправлений, разработка инструментов для обеспечения безопасности, публикация лучших практик по безопасной организации разработки, выявление связанных с безопасностью угроз в открытом ПО, проведение работы по аудиту и усилению безопасности критически важных открытых проектов, создание средств для проверки идентичности разработчиков. OpenSSF продолжает развитие таких инициатив, как Core Infrastructure Initiative и Open Source Security Coalition, а также объединяет и другие связанные с безопасностью работы, предпринимаемые присоединившимися к проекту компаниями. В число компаний-учредителей OpenSSF входят Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk и VMware.
ماخذ: opennet.ru
