OpenSSF(開源安全基金會)推出了Alpha-Omega項目,旨在提高開源軟體的安全性。 該項目開發的初始投資為 5 萬美元,啟動該計劃的人員將由谷歌和微軟提供。 也鼓勵其他組織透過提供工程人才和資金水平參與其中,這將有助於擴大該計劃涵蓋的開源專案的數量。 此外,去年年底,為OpenSSF基金會的工作撥款10萬美元;未明確這些資金是否將用於Alpha-Omega倡議。
Alpha-Omega 專案由兩個部分組成:
- Alpha 的一部分涉及對 200 個廣泛使用的開源專案進行手動安全審核,這些專案最受歡迎的是它們以依賴項或基礎設施元素的形式使用。 這項工作將與維護人員合作進行,包括對程式碼進行系統分析,以識別新漏洞並快速修復它們。
- Omega 的一部分專注於對 10 個最受歡迎的開源專案進行自動化測試。 將創建一個單獨的工程師團隊來進行測試、改進所使用的方法、分析測試結果、與專案開發人員溝通資訊並協調協作以解決關鍵問題。 該團隊的主要任務是拒絕誤報並識別自動化報告中的真正漏洞。
Alpha 階段需要手動審核是因為需要識別自動化測試期間難以識別的隱藏問題。 作為此類問題的一個例子,最近提到了 Log4j 中的嚴重漏洞,該漏洞危及了大量大型公司的基礎設施。 將根據專家界的建議以及先前產生的關鍵分數和人口普查評級的數據來選擇審計項目。
需要提醒的是,OpenSSF 是在 Linux 基金會的支持下創建的,專注於協調漏洞披露、補丁分發、安全工具開發、發布安全開發最佳實踐、識別開放軟體中的安全威脅等領域的工作,開展審計工作並加強關鍵開源專案的安全性,創建用於驗證開發人員身分的工具。 OpenSSF 持續制定核心基礎設施計畫和開源安全聯盟等舉措,並整合已加入該專案的公司所進行的其他安全相關工作。 OpenSSF 的創始公司包括Google、微軟、亞馬遜、思科、戴爾科技、愛立信、Facebook、富達、GitHub、IBM、英特爾、摩根大通、摩根士丹利、甲骨文、紅帽、Snyk 和 VMware。
來源: opennet.ru