Linux Foundation стартира Project Alpha Omega, нова инициатива за засилване на сигурността на критични приложения с отворен код. Ще инвестира, включително Microsoft и Google. Първоначалната инвестиция беше оценена на 5 милиона долара.
Linux Foundation използва проактивен подход, който по същество е насочен към предотвратяване на възникването на грешки, свързани със сигурността, или бързото им откриване. Проектът ще предостави техническа помощ, ще използва ръчен преглед на кода и всякакви инструменти за идентифициране на критични уязвимости. В допълнение, Alpha Omega ще осигури наставничество за поддържащите софтуер.
Сложността на съвременния софтуер изисква повече от просто писане на основен код с мисъл за сигурността. Сигурността се превръща в неразделна част от CI/CD конвейерите. Основите на сигурността обаче не се преподават в образованието в колеж или компютърни науки и поради тази причина Linux Foundation създаде Фондация за сигурност с отворен код (OpenSSF) с цел да обучава разработчиците в разкриването на уязвимости, инструменти за сигурност, най-добри практики за сигурност, идентифициране на заплахи за сигурността на проекти с отворен код, защита на критични проекти.
Този курс ще позволи на разработчиците на софтуер да изграждат и поддържат системи, които са много по-трудни за успешна атака, да смекчат щетите от успешни атаки и да ускорят реакцията на латентни уязвимости.
Алфа Омега ще поддържа връзка с поддържащите избрани проекти, за да предостави индивидуална помощ, както и да помогне за прилагането на най-добрите практики. Но поради ограниченото разпределение на ресурсите ще бъдат подкрепени максимум няколко десетки проекта. Те ще бъдат избрани въз основа на констатациите на работната група OpenSSF, експертите и оценката за критичност на OpenSSF, както и анализ на Харвардското преброяване.
През 2021 г. Linux Foundation OpenSSF и Харвардската лаборатория за иновативна наука (LISH) публикуваха резултатите от проучване, демонстриращо необходимостта от повече работа по сигурността в софтуера с отворен код, включително Linux. В края на 2020 г. Google разработи специална оценка за класиране на отворените проекти по отношение на важността им за индустрията.
bbabo.Net