Некоммерческий фонд OpenSSF (Open Source Security Foundation) запустил проект Alpha-Omega, в целях улучшения безопасности проектов с открытым исходным кодом. Корпорации Google и Microsoft предоставили средства на развитие проекта в размере 5 миллионов долларов, помимо финансовых, выделены как материальные ресурсы так и инженерно-технический персонал. Сейчас важно, чтобы к проекту присоединялись другие заинтересованные организации, на данный момент важно нарастить инженерный состав, расширение которого благополучно скажется на результатах деятельности проекта.
Alpha, часть проекта, ориентируется на ведение ручного аудита 200 популярных проектов с открытым кодом. Их популярность обусловлена большим количеством зависимостей в других проектах или элементах инфраструктуры. В работу будут вовлечены сотрудники подопечных проектов с целью оперативного исправления уязвимостей.
Часть Omega нацелена на автоматизированный анализ кода 10 тысяч наиболее популярных открытых проектов. Команда Omega будет выделена в отдельное подразделение, её основная задача отфильтровать ложные срабатывания автоматизированных средств анализа.
OpenSSF создан под эгидой организации Linux Foundation и сосредоточен на работе в таких областях, как скоординированное раскрытие информации об уязвимостях, распространение исправлений, разработка инструментов для обеспечения безопасности, публикация лучших практик по безопасной организации разработки, выявление связанных с безопасностью угроз в открытом ПО, проведение работы по аудиту и усилению безопасности критически важных открытых проектов, создание средств для проверки идентичности разработчиков. OpenSSF продолжает развитие таких инициатив, как Core Infrastructure Initiative и Open Source Security Coalition, а также объединяет и другие связанные с безопасностью работы, предпринимаемые присоединившимися к проекту компаниями. В число компаний-учредителей OpenSSF входят Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk и VMware.
>>> Подробности