OpenSSF (Open Source Security Foundation) ochiq kodli dasturiy ta'minot xavfsizligini yaxshilashga qaratilgan Alpha-Omega loyihasini taqdim etdi. Loyihani rivojlantirish uchun 5 million dollar miqdoridagi dastlabki investitsiyalar va tashabbusni amalga oshirish uchun xodimlar Google va Microsoft tomonidan taqdim etiladi. Boshqa tashkilotlar ham muhandislik qobiliyatlarini taqdim etish orqali ham, moliyalashtirish darajasida ham ishtirok etishga da'vat etiladi, bu esa tashabbus bilan qamrab olinadigan ochiq manba loyihalari sonini kengaytirishga yordam beradi. Bundan tashqari, o'tgan yilning oxirida OpenSSF jamg'armasi ishiga 10 million dollar ajratilgan, bu mablag'lar Alpha-Omega tashabbusi uchun ishlatiladimi yoki yo'qmi, aniqlanmagan.
Alpha-Omega loyihasi ikki komponentdan iborat:
- Alpha-ning bir qismi keng tarqalgan bo'lib foydalaniladigan 200 ta ochiq manbali loyihalarning qo'lda xavfsizlik auditini o'tkazishni o'z ichiga oladi, ulardan eng ko'p qaramlik yoki infratuzilma elementlari shaklida foydalanish uchun mashhur. Ish texnik xodimlar bilan hamkorlikda amalga oshiriladi va yangi zaifliklarni aniqlash va ularni tezda tuzatish uchun kodni tizimli tahlil qilishni o'z ichiga oladi.
- Omega-ning bir qismi 10 mingta eng mashhur ochiq kodli loyihalarni avtomatlashtirilgan sinovdan o'tkazishga qaratilgan. Sinovlarni o'tkazish, qo'llaniladigan usullarni takomillashtirish, test natijalarini tahlil qilish, loyiha ishlab chiquvchilarga ma'lumot etkazish va muhim muammolarni hal qilish uchun hamkorlikni muvofiqlashtirish uchun alohida muhandislar guruhi tuziladi. Ushbu jamoaning asosiy vazifasi noto'g'ri pozitivlarni rad etish va avtomatlashtirilgan hisobotlarda haqiqiy zaifliklarni aniqlash bo'ladi.
Alpha bosqichida qo'lda audit o'tkazish zarurati avtomatlashtirilgan test paytida aniqlash qiyin bo'lgan yashirin muammolarni aniqlash zarurati bilan bog'liq. Bunday muammolarga misol sifatida, Log4j-dagi so'nggi paytlarda ko'plab yirik kompaniyalar infratuzilmasini xavf ostiga qo'ygan muhim zaifliklar keltiriladi. Audit uchun loyihalar ekspertlar hamjamiyatining tavsiyalari va avval yaratilgan Kritik ball va aholini ro'yxatga olish reytinglari ma'lumotlarini hisobga olgan holda tanlanadi.
Eslatib o‘tamiz, OpenSSF Linux fondi homiyligida yaratilgan bo‘lib, zaiflikni muvofiqlashtirilgan tarzda oshkor qilish, yamoqlarni tarqatish, xavfsizlik vositalarini ishlab chiqish, xavfsiz ishlab chiqish bo‘yicha ilg‘or tajribalarni nashr etish, ochiq dasturiy ta’minotda xavfsizlik tahdidlarini aniqlash, muhim ochiq kodli loyihalarning xavfsizligini tekshirish va mustahkamlash, ishlab chiquvchilarning shaxsini tekshirish vositalarini yaratish bo'yicha ishlarni olib borish. OpenSSF asosiy infratuzilma tashabbusi va ochiq manba xavfsizlik koalitsiyasi kabi tashabbuslarni ishlab chiqishda davom etmoqda, shuningdek, loyihaga qoʻshilgan kompaniyalar tomonidan xavfsizlik bilan bogʻliq boshqa ishlarni birlashtiradi. OpenSSF asoschilari orasida Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk va VMware bor.
Manba: opennet.ru