Инициатива Alpha-Omega, нацеленная на повышение безопасности 10 тысяч открытых проектов
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Фонд OpenSSF (Open Source Security Foundation) представил проект Alpha-Omega, нацеленный на повышение безопасности открытого ПО. Начальные инвестиции для развития проекта в размере 5 млн долларов и персонал для запуска инициативы предоставят компании Google и Microsoft. К участию также приглашаются другие организации, которые могут поучаствовать как через предоставление инженерных кадров, так и на уровне финансирования, что поможет расширить число открытых проектов, на которые будет распространяться инициатива. Кроме того, в конце прошлого года на работу Фонда OpenSSF было выделено 10 млн долларов, будут ли использованы данные средства для инициатива Alpha-Omega не уточняется.
Проект Alpha-Omega состоит из двух составляющих:
- Часть Alpha подразумевает проведение ручного аудита безопасности 200 широко используемых открытых проектов, наиболее популярных с позиции их использования в форме зависимостей или в элементах инфраструктуры. Работа будет вестись в сотрудничестве с сопровождающими и будет включать систематический анализ кода для выявления новых уязвимостей и их оперативного исправления.
- Часть Omega сфокусирована на проведении автоматизированного тестирования 10 тысяч наиболее популярных открытых проектов. Для проведения тестирования, усовершенствования применяемых методов, анализа результатов проверки, доведения информации до разработчиков проектов и координации совместной работы по устранению критических проблем будет создана отдельная команда инженеров. Основной задачей данной команды будет отбрасывание ложных срабатываний и выявление в автоматизированных отчётах реальных уязвимостей.
Необходимость ручного аудита на стадии Alpha обусловлена необходимостью выявления скрытых проблем, которые проблематично выявить в ходе автоматизированного тестирования. В качестве примера таких проблем упоминаются недавние критические уязвимости в Log4j, поставившие под удар инфраструктуры большого числа крупных компаний. Проекты для аудита будут отобраны с учётом рекомендаций экспертного сообщества и данных из ранее сформированных рейтингов Critically Score и Census.
Напомним, что Фонд OpenSSF создан под эгидой организации Linux Foundation и сосредоточен на работе в таких областях, как скоординированное раскрытие информации об уязвимостях, распространение исправлений, разработка инструментов для обеспечения безопасности, публикация лучших практик по безопасной организации разработки, выявление связанных с безопасностью угроз в открытом ПО, проведение работы по аудиту и усилению безопасности критически важных открытых проектов, создание средств для проверки идентичности разработчиков.
OpenSSF продолжает развитие таких инициатив, как Core Infrastructure Initiative и Open Source Security Coalition, а также объединяет и другие связанные с безопасностью работы, предпринимаемые присоединившимися к проекту компаниями. В число компаний-учредителей OpenSSF входят Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk и VMware.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://openssf.org/press-rele...)
- OpenNews: Фонд повышения безопасности открытого ПО получил финансирование размером 10 млн долларов
- OpenNews: Google выделил миллион долларов на работу по повышению безопасности открытого ПО
- OpenNews: Google представил рейтинг критически важных открытых проектов
- OpenNews: Учреждён проект OpenSSF, сфокусированный на повышении безопасности открытого ПО
- OpenNews: Google профинансирует аудит безопасности 8 важных открытых проектов
Похожие новости:
- Фонд повышения безопасности открытого ПО получил финансирование, размером 10 млн долларов
- Google выделил миллион долларов на работу по повышению безопасности открытого ПО
- GitHub добавил поддержку отслеживания уязвимостей в проектах на языке Rust
- Уязвимость в OpenOffice, позволяющая выполнить код при открытии файла
- Google профинансирует аудит безопасности 8 важных открытых проектов
- Кейс Кук из Google призвал модернизировать процесс работы над ошибками в ядре Linux
- Оценка использования уязвимых открытых компонентов в коммерческом ПО
- [Системное администрирование, IT-инфраструктура, DevOps] SAML простыми словами (перевод)
- [Информационная безопасность, Java, Разработка под Android, GitHub] Пишем паническую кнопку под андроид (Часть 2)
- [Информационная безопасность, Java, Разработка под Android, Хакатоны] Пишем паническую кнопку под Android (Часть 1)
Теги для поиска: #_openssf, #_security, #_audit
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 03:13
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
Фонд OpenSSF (Open Source Security Foundation) представил проект Alpha-Omega, нацеленный на повышение безопасности открытого ПО. Начальные инвестиции для развития проекта в размере 5 млн долларов и персонал для запуска инициативы предоставят компании Google и Microsoft. К участию также приглашаются другие организации, которые могут поучаствовать как через предоставление инженерных кадров, так и на уровне финансирования, что поможет расширить число открытых проектов, на которые будет распространяться инициатива. Кроме того, в конце прошлого года на работу Фонда OpenSSF было выделено 10 млн долларов, будут ли использованы данные средства для инициатива Alpha-Omega не уточняется. Проект Alpha-Omega состоит из двух составляющих:
Напомним, что Фонд OpenSSF создан под эгидой организации Linux Foundation и сосредоточен на работе в таких областях, как скоординированное раскрытие информации об уязвимостях, распространение исправлений, разработка инструментов для обеспечения безопасности, публикация лучших практик по безопасной организации разработки, выявление связанных с безопасностью угроз в открытом ПО, проведение работы по аудиту и усилению безопасности критически важных открытых проектов, создание средств для проверки идентичности разработчиков. OpenSSF продолжает развитие таких инициатив, как Core Infrastructure Initiative и Open Source Security Coalition, а также объединяет и другие связанные с безопасностью работы, предпринимаемые присоединившимися к проекту компаниями. В число компаний-учредителей OpenSSF входят Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk и VMware. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 03:13
Часовой пояс: UTC + 5