Инициатива Alpha-Omega, нацеленная на повышение безопасности 10 тысяч открытых проектов

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
07-Фев-2022 22:30

Фонд OpenSSF (Open Source Security Foundation) представил проект Alpha-Omega, нацеленный на повышение безопасности открытого ПО. Начальные инвестиции для развития проекта в размере 5 млн долларов и персонал для запуска инициативы предоставят компании Google и Microsoft. К участию также приглашаются другие организации, которые могут поучаствовать как через предоставление инженерных кадров, так и на уровне финансирования, что поможет расширить число открытых проектов, на которые будет распространяться инициатива. Кроме того, в конце прошлого года на работу Фонда OpenSSF было выделено 10 млн долларов, будут ли использованы данные средства для инициатива Alpha-Omega не уточняется.
Проект Alpha-Omega состоит из двух составляющих:
  • Часть Alpha подразумевает проведение ручного аудита безопасности 200 широко используемых открытых проектов, наиболее популярных с позиции их использования в форме зависимостей или в элементах инфраструктуры. Работа будет вестись в сотрудничестве с сопровождающими и будет включать систематический анализ кода для выявления новых уязвимостей и их оперативного исправления.
  • Часть Omega сфокусирована на проведении автоматизированного тестирования 10 тысяч наиболее популярных открытых проектов. Для проведения тестирования, усовершенствования применяемых методов, анализа результатов проверки, доведения информации до разработчиков проектов и координации совместной работы по устранению критических проблем будет создана отдельная команда инженеров. Основной задачей данной команды будет отбрасывание ложных срабатываний и выявление в автоматизированных отчётах реальных уязвимостей.
Необходимость ручного аудита на стадии Alpha обусловлена необходимостью выявления скрытых проблем, которые проблематично выявить в ходе автоматизированного тестирования. В качестве примера таких проблем упоминаются недавние критические уязвимости в Log4j, поставившие под удар инфраструктуры большого числа крупных компаний. Проекты для аудита будут отобраны с учётом рекомендаций экспертного сообщества и данных из ранее сформированных рейтингов Critically Score и Census.
Напомним, что Фонд OpenSSF создан под эгидой организации Linux Foundation и сосредоточен на работе в таких областях, как скоординированное раскрытие информации об уязвимостях, распространение исправлений, разработка инструментов для обеспечения безопасности, публикация лучших практик по безопасной организации разработки, выявление связанных с безопасностью угроз в открытом ПО, проведение работы по аудиту и усилению безопасности критически важных открытых проектов, создание средств для проверки идентичности разработчиков.
OpenSSF продолжает развитие таких инициатив, как Core Infrastructure Initiative и Open Source Security Coalition, а также объединяет и другие связанные с безопасностью работы, предпринимаемые присоединившимися к проекту компаниями. В число компаний-учредителей OpenSSF входят Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk и VMware.
===========
Источник:
OpenNet.RU
===========

Похожие новости: Теги для поиска: #_openssf, #_security, #_audit
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 22-Ноя 09:53
Часовой пояс: UTC + 5