OpenSSF(开源安全基金会)推出了Alpha-Omega项目,旨在提高开源软件的安全性。 该项目开发的初始投资为 5 万美元,启动该计划的人员将由谷歌和微软提供。 还鼓励其他组织通过提供工程人才和资金水平参与其中,这将有助于扩大该计划涵盖的开源项目的数量。 此外,去年年底,为OpenSSF基金会的工作分配了10万美元;未明确这些资金是否将用于Alpha-Omega计划。
Alpha-Omega 项目由两个部分组成:
- Alpha 的一部分涉及对 200 个广泛使用的开源项目进行手动安全审核,这些项目最流行的是它们以依赖项或基础设施元素的形式使用。 这项工作将与维护人员合作进行,包括对代码进行系统分析,以识别新漏洞并快速修复它们。
- Omega 的一部分专注于对 10 个最流行的开源项目进行自动化测试。 将创建一个单独的工程师团队来进行测试、改进所使用的方法、分析测试结果、与项目开发人员沟通信息并协调协作以解决关键问题。 该团队的主要任务是拒绝误报并识别自动化报告中的真正漏洞。
Alpha 阶段需要进行手动审核是因为需要识别自动化测试期间难以识别的隐藏问题。 作为此类问题的一个例子,最近提到了 Log4j 中的严重漏洞,该漏洞危及了大量大公司的基础设施。 将根据专家界的建议以及先前生成的关键分数和人口普查评级的数据来选择审计项目。
需要提醒的是,OpenSSF 是在 Linux 基金会的支持下创建的,专注于协调漏洞披露、补丁分发、安全工具开发、发布安全开发最佳实践、识别开放软件中的安全威胁等领域的工作,开展审计工作并加强关键开源项目的安全性,创建用于验证开发人员身份的工具。 OpenSSF 继续制定核心基础设施计划和开源安全联盟等举措,并整合已加入该项目的公司开展的其他安全相关工作。 OpenSSF 的创始公司包括谷歌、微软、亚马逊、思科、戴尔科技、爱立信、Facebook、富达、GitHub、IBM、英特尔、摩根大通、摩根士丹利、甲骨文、红帽、Snyk 和 VMware。
来源: opennet.ru