OpenSSF (Tổ chức bảo mật nguồn mở) đã giới thiệu dự án Alpha-Omega, nhằm cải thiện tính bảo mật của phần mềm nguồn mở. Các khoản đầu tư ban đầu để phát triển dự án với số tiền 5 triệu USD và nhân sự để triển khai sáng kiến sẽ do Google và Microsoft cung cấp. Các tổ chức khác cũng được khuyến khích tham gia, cả thông qua việc cung cấp tài năng kỹ thuật và ở mức cấp vốn, điều này sẽ giúp mở rộng số lượng các dự án nguồn mở sẽ được sáng kiến này bao trùm. Ngoài ra, vào cuối năm ngoái, 10 triệu USD đã được phân bổ cho hoạt động của Quỹ OpenSSF; liệu số tiền này có được sử dụng cho sáng kiến Alpha-Omega hay không vẫn chưa được nêu rõ.
Dự án Alpha-Omega bao gồm hai thành phần:
- Một phần của Alpha liên quan đến việc tiến hành kiểm tra bảo mật thủ công đối với 200 dự án nguồn mở được sử dụng rộng rãi, phổ biến nhất vì chúng được sử dụng dưới dạng phụ thuộc hoặc các thành phần cơ sở hạ tầng. Công việc sẽ được thực hiện với sự cộng tác của các nhà bảo trì và sẽ bao gồm phân tích mã có hệ thống để xác định các lỗ hổng mới và nhanh chóng khắc phục chúng.
- Một phần của Omega tập trung vào việc tiến hành thử nghiệm tự động đối với 10 nghìn dự án nguồn mở phổ biến nhất. Một nhóm kỹ sư riêng biệt sẽ được thành lập để tiến hành thử nghiệm, cải tiến các phương pháp được sử dụng, phân tích kết quả thử nghiệm, truyền đạt thông tin cho các nhà phát triển dự án và phối hợp cộng tác để giải quyết các vấn đề quan trọng. Nhiệm vụ chính của nhóm này sẽ là loại bỏ các kết quả dương tính giả và xác định các lỗ hổng thực sự trong các báo cáo tự động.
Nhu cầu kiểm tra thủ công ở giai đoạn Alpha là do nhu cầu xác định các vấn đề tiềm ẩn khó xác định trong quá trình kiểm tra tự động. Ví dụ về những vấn đề như vậy là các lỗ hổng nghiêm trọng gần đây trong Log4j đã được đề cập, gây nguy hiểm cho cơ sở hạ tầng của một số lượng lớn các công ty lớn. Các dự án để kiểm toán sẽ được lựa chọn có tính đến các khuyến nghị của cộng đồng chuyên gia và dữ liệu từ xếp hạng Điểm quan trọng và Điều tra dân số được tạo trước đó.
Xin nhắc lại, OpenSSF được tạo ra dưới sự bảo trợ của Linux Foundation và tập trung vào công việc trong các lĩnh vực như phối hợp tiết lộ lỗ hổng, phân phối bản vá, phát triển công cụ bảo mật, xuất bản các phương pháp hay nhất để phát triển an toàn, xác định các mối đe dọa bảo mật trong Phần mềm mở, thực hiện công việc kiểm toán và tăng cường bảo mật cho các dự án nguồn mở quan trọng, tạo ra các công cụ để xác minh danh tính của các nhà phát triển. OpenSSF tiếp tục phát triển các sáng kiến như Sáng kiến cơ sở hạ tầng cốt lõi và Liên minh an ninh nguồn mở, đồng thời tích hợp các công việc liên quan đến bảo mật khác do các công ty tham gia dự án thực hiện. Các công ty sáng lập OpenSSF bao gồm Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk và VMware.
Nguồn: opennet.ru