Фонд OpenSSF (Open Source Security Foundation) представил проект Alpha-Omega, в рамках которого планируется потратить 10 млн долларов на повышение безопасности открытого ПО. Средства выделят компании-учредители OpenSSF, в числе которых Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, Google, IBM, Intel, JPMorgan Chase, Microsoft, Morgan Stanley, Oracle, Red Hat, Snyk и VMware. При этом 5 млн долларов готовы передать компании Google и Microsoft.
Проект состоит из двух составляющих:
- Часть Alpha подразумевает проведение ручного аудита безопасности 200 широко используемых открытых проектов, наиболее популярных с позиции их использования в форме зависимостей или в элементах инфраструктуры. Работа будет вестись в сотрудничестве с сопровождающими и будет включать систематический анализ кода для выявления новых уязвимостей и их оперативного исправления.
- Часть Omega сфокусирована на проведении автоматизированного тестирования 10 тысяч наиболее популярных открытых проектов. Для проведения тестирования, усовершенствования применяемых методов, анализа результатов проверки, доведения информации до разработчиков проектов и координации совместной работы по устранению критических проблем будет создана отдельная команда инженеров. Основной задачей данной команды будет отбрасывание ложных срабатываний и выявление в автоматизированных отчётах реальных уязвимостей.
Необходимость ручного аудита на стадии Alpha обусловлена необходимостью выявления скрытых проблем, которые проблематично выявить в ходе автоматизированного тестирования. В качестве примера таких проблем упоминаются недавние критические уязвимости в Log4j, поставившие под удар инфраструктуры большого числа крупных компаний. Проекты для аудита будут отобраны с учётом рекомендаций экспертного сообщества и данных из ранее сформированных рейтингов Critically Score и Census.
Напомним, что Фонд OpenSSF создан под эгидой организации Linux Foundation и сосредоточен на работе в таких областях, как скоординированное раскрытие информации об уязвимостях, распространение исправлений, разработка инструментов для обеспечения безопасности, публикация лучших практик по безопасной организации разработки, выявление связанных с безопасностью угроз в открытом ПО, проведение работы по аудиту и усилению безопасности критически важных открытых проектов, создание средств для проверки идентичности разработчиков.
OpenSSF продолжает развитие таких инициатив, как Core Infrastructure Initiative и Open Source Security Coalition, а также объединяет и другие связанные с безопасностью работы, предпринимаемые присоединившимися к проекту компаниями.