LINUX.ORG.RU

Благодаря проекту Alpha-Omega в рамках OpenSSF, улучшится безопасность 10000 проектов под свободной лицензией

 , openssf


0

1

Некоммерческий фонд OpenSSF (Open Source Security Foundation) запустил проект Alpha-Omega, в целях улучшения безопасности проектов с открытым исходным кодом. Корпорации Google и Microsoft предоставили средства на развитие проекта в размере 5 миллионов долларов, помимо финансовых, выделены как материальные ресурсы так и инженерно-технический персонал. Сейчас важно, чтобы к проекту присоединялись другие заинтересованные организации, на данный момент важно нарастить инженерный состав, расширение которого благополучно скажется на результатах деятельности проекта.

Alpha, часть проекта, ориентируется на ведение ручного аудита 200 популярных проектов с открытым кодом. Их популярность обусловлена большим количеством зависимостей в других проектах или элементах инфраструктуры. В работу будут вовлечены сотрудники подопечных проектов с целью оперативного исправления уязвимостей.

Часть Omega нацелена на автоматизированный анализ кода 10 тысяч наиболее популярных открытых проектов. Команда Omega будет выделена в отдельное подразделение, её основная задача отфильтровать ложные срабатывания автоматизированных средств анализа.

OpenSSF создан под эгидой организации Linux Foundation и сосредоточен на работе в таких областях, как скоординированное раскрытие информации об уязвимостях, распространение исправлений, разработка инструментов для обеспечения безопасности, публикация лучших практик по безопасной организации разработки, выявление связанных с безопасностью угроз в открытом ПО, проведение работы по аудиту и усилению безопасности критически важных открытых проектов, создание средств для проверки идентичности разработчиков. OpenSSF продолжает развитие таких инициатив, как Core Infrastructure Initiative и Open Source Security Coalition, а также объединяет и другие связанные с безопасностью работы, предпринимаемые присоединившимися к проекту компаниями. В число компаний-учредителей OpenSSF входят Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk и VMware.

>>> Подробности



Проверено: xaizek ()
Последнее исправление: xaizek (всего исправлений: 2)
Ответ на: комментарий от Harald

Не обижайся, он просто забыл, торопился

anonymous
()
Ответ на: комментарий от TolkoSprosit

Благодаря проекту Alpha-Omega в рамках OpenSSF, улучшится безопасность 10000 проектов под свободной лицензией

Ещё бы написал: «Пользователям ЛОРа улучшат безопасность ПО» 🤣 (как в районных и региональных газетах).

AVRS ★★
()
Последнее исправление: AVRS (всего исправлений: 1)

Alpha, часть проекта, ориентируется на ведение ручного аудита 200 популярных проектов с открытым кодом

Откуда инфа про 200?

По ссылке в таблице 104 https://docs.google.com/spreadsheets/u/0/d/1ONZ4qeMq8xmeCHX03lIgIYE4MEXVfVL6o...

Последний проект в списке забавляет) Видимо, докинули в последний момент

Logopeft ★★
()

По итогам проекта наконец-то выкинут systemd, как систему набор уязвимостей не поддающихся исправлению.

cocucka ★★★★☆
()

«Безопасность кода» «Корпорации Google и Microsoft предоставили»

Ясно, понятно. Дальше можно не читать.

LightDiver ★★★★★
()
Ответ на: комментарий от Logopeft

По ссылке в таблице 104 https://docs.google.com/spreadsheets/u/0/d/1ONZ4qeMq8xmeCHX03lIgIYE4MEXVfVL6o

По листал список.

cmake, meson, autotools

Зачем их аудитать? Кто и как может воспользоваться уязвимостью там? В сети они не торчат, под рутом их обычно не гоняют

isArray, inherits

вот их исходный код:

var toString = {}.toString;

module.exports = Array.isArray || function (arr) {
  return toString.call(arr) === '[object Array]';
};
try {
  var util = require('util');
  /* istanbul ignore next */
  if (typeof util.inherits !== 'function') throw '';
  module.exports = util.inherits;
} catch (e) {
  /* istanbul ignore next */
  module.exports = require('./inherits_browser.js');
}

и ЭТО - пакеты критической важности, аудит которых планируют провести. Думаю чтоб провести этот самый аудит уйдет меньше времени чем ушло на добавление их в список

DMITRY
()
Ответ на: комментарий от cocucka

И добавят одну уязвимость. Набор баш-портянок считается за одну ведь?

Bobcat
()

Нужно больше безопасности, а то все еще как-то опасно. Как же хорошо, что о безопасности опенсорца заботятся компании Google и Microsoft.

разработка инструментов для обеспечения безопасной безопасности, публикация лучших практик по безопасной организации безопасности, выявление опасных связанных с безопасностью небезопасностей в открытом ПО, проведение работы по аудиту и усилению безопасности критически опасных ЕХАЛ ГИТЛЕР БЕЗОПАСНОСТЬ

thesis ★★★★★
()
Последнее исправление: thesis (всего исправлений: 1)
Ответ на: комментарий от thesis

безопасностьманяя какая-то

но почему они до сих пор не установили план переписать весь тупой сишный кал на божественном расте?

anonymous
()

10000 проектов мало, надо ещё пару ноликов накинуть!

kirill_rrr ★★★★★
()
Ответ на: комментарий от anonymous

Очевидно же - потому что тогда всё будет безопасным и надо будет снова придумывать как пилить бюджеты и отмывать уже полученные.

NAY_GIGGER
()
Ответ на: комментарий от LightDiver

Корпорации Google и Microsoft предоставили

Ну а чо, Гугл использует массу опенсорс кода, и не хочет, чтобы его инфраструктуру шатали через дыры в нем. Поэтому ему выгодно, чтобы за умеренную плату энтузиасты пофиксили дыры в опенсорсе.

goingUp ★★★★★
()
Ответ на: комментарий от AVRS

Ещё бы написал: «Пользователям ЛОРа улучшат безопасность ПО» 🤣 (как в районных и региональных газетах).

типа того. а еще можно начать с «Корпорации Google и Microsoft предоставили средства...»

crypt ★★★★★
()
Ответ на: комментарий от LightDiver

Потому что противоречит Вашему религиозному мировоззрению?

Mischutka ★★★★★
()
Ответ на: комментарий от AVRS

Мне заголовок тоже не очень понравился. Сколько же ванг, раздающих обещания в будущем времени. И если в проплаченной рекламе это ещё можно понять, то здесь просто смешно.

«Проект Alpha-Omega нацелен на повышение безопасности программ с открытым кодом» — вот так было бы спокойно и с достоинством.

hobbit ★★★★★
()
Последнее исправление: hobbit (всего исправлений: 2)

Что касается Google и Microsoft…

Спонсировать сознательное внесение дыр они, конечно, не будут, это слишком уж явное палево. Всплывёт — не отмоются.

Но теоретически они вполне могут влиять на список исследуемых проектов, чтобы не трогать уязвимости в программах, конкурирующих с их собственными и получать таким образом конкурентное преимущество. Это не паранойя, это бизнес. И это очень трудно проверяемая теория, даже если проанализировать список проверяемых проектов.

А с третьей стороны — пусть будет, кому-то возможно поможет. И никто не запрещает сообществу организовать аналогичную работу параллельно. А если сообщество не осилит — то так ему и надо. А ещё заинтересованные люди могут попробовать внедриться в этот проект и проверить, насколько там приветствуется самодеятельность… :)))

hobbit ★★★★★
()
Ответ на: комментарий от hobbit

зачем им вносить дыры, если они будут использовать эти проекты для EEE? линукс всего лишь становится более корпоративным (частью корпоративного продукта) и, когда ты ратуешь за расширение линуксовой юзербазы, ты поддерживаешь корпорации и юзеров, которые не видят разницы между линуксом и виндой.

crypt ★★★★★
()
Последнее исправление: crypt (всего исправлений: 1)

В принципе хуже от этого не кому не станет

DMITRY
()
Ответ на: комментарий от crypt

когда ты ратуешь за расширение линуксовой юзербазы, ты поддерживаешь корпорации и юзеров, которые не видят разницы между линуксом и виндой.

За расширение до виндовых масштабов я и не ратую, если отберёт у винды столько же, сколько отобрала макось — этого будет вполне достаточно, чтобы производители железа не смогли игнорировать линукс безнаказанно для своего кошелька. Think different but different, так сказать.

hobbit ★★★★★
()
Последнее исправление: hobbit (всего исправлений: 1)
Ответ на: комментарий от hobbit

он не отберет у макоси напрямую. винда отберет у макоси процент за счет встроенного WSL. а производители железа будут считаться с _андроид_. это и означает «часть корпоративного продукта».

Think different but different

я выше привел тебе ссылку на юзербейз. они хотят казаться, а не быть дифферент по сути.

crypt ★★★★★
()
Последнее исправление: crypt (всего исправлений: 5)

В число компаний-учредителей OpenSSF входят Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk и VMware

Ну, думаю получится у них

I-Love-Microsoft ★★★★★
()
Ответ на: комментарий от crypt

выше я забыл добавить имхо

А это и не требуется. Всё что ты пишешь, по умолчанию считается твоим личным мнением, если не сказано иное.

eternal_sorrow ★★★★★
()
Ответ на: комментарий от crypt

производители железа будут считаться с андроид

Как бы у андроида и линукса не много разные области применения. И считаться с андроидом производителям десктоп железа нах не сдалось И наоборот.

DMITRY
()
Ответ на: комментарий от eternal_sorrow

Понимаешь, ты думаешь что корпорации это обычные люди, такие же как ты или я. Что у них тоже кровь, кости, мясо, все такое. Но это не так. Корпорации - это изобретения самого злого зла. Не того, что противоположность добру, нет, а того, где добра в принципе не существует. У них вместо крови зловонная жижа. Вместо мыслей у них какашки. Их единственные цели - защитить себя и уничтожить нас.

Это если кратко.

LightDiver ★★★★★
()
Ответ на: комментарий от crypt

Я тут на днях глянул удаленно через тимвивер на ноут с виндой. Там винда теперь от андроида по первым ощущениями уже ничем не отличается. По крайней мере внешне. И кстати! Они реально впихнули в десктопную винду терминал основной опцией!

LightDiver ★★★★★
()
Ответ на: комментарий от eternal_sorrow

это понятно. я просто уже писал хоббиту об этом, не хочется заклиниваться.

crypt ★★★★★
()
Ответ на: комментарий от Odalist

Реклама на ЛОР она дешевая, так как за 0 рублей, так как мы любим, вывод: дешевая реклама == хорошо

TolkoSprosit
() автор топика
Последнее исправление: TolkoSprosit (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.