Успіхи безпеки з відкритим вихідним кодом, знання та нові гроші, про які повідомляє Alpha-Omega OpenSSF

Ознайомтеся з усіма сесіями на замовлення саміту Intelligent Security Summit тут.


У 2022 році безпека з відкритим кодом зробила кілька кроків вперед, не в малу частину завдяки численним зусиллям під керівництвом Open Source Security Foundation, також відомого як OpenSSF.

Одним із напрямків OpenSSF, запущених у лютому, є Alpha-Omega. Початкова мета зусиль полягала в тому, щоб забезпечити підтримку для покращення безпеки для невеликої групи проектів з відкритим кодом, якими був компонент Alpha. Компонент Omega стосувався створення та надання інструментів, які можуть допомогти ширшому набору критично важливих зусиль з відкритим кодом. Тепер, після майже року роботи, OpenSSF опублікував щорічний звіт, у якому описує, чого Альфа-Омега фактично досягла для покращення стану безпеки з відкритим кодом.

«Спочатку ми не були впевнені, яким буде сприйняття Alpha», — сказав для VentureBeat Майкл Сковетта, головний менеджер із безпеки Microsoft і один із керівників Alpha-Omega. «Ми сподівалися, що організації захочуть отримати допомогу і будуть готові це зробити, але у нас не було багато даних, щоб підтвердити це».

Як виявилося, організації з відкритим кодом сприйняли пропозицію допомоги у сфері безпеки від OpenSSF. У перший рік Node.js, Eclipse Foundation, Rust Foundation, jQuery та Python Software Foundation були включені до альфа-частини Alpha-Omega.

Подія

Intelligent Security Summit On-Demand

Дізнайтеся про важливу роль штучного інтелекту та машинного навчання в кібербезпеці та конкретних галузевих прикладах. Дивіться сеанси за запитом сьогодні.

Дивіться тут

Прийняття не обмежувалося лише організаціями, які бажають прийняти підтримку, але й організаціями, які бажають зробити фінансовий внесок. Разом із сьогоднішнім річним звітом OpenSSF оголосив, що Amazon пообіцяла виділити 2,5 мільйона доларів на зусилля Alpha-Omega. Загальний обсяг фінансування проекту «Альфа-Омега» зараз становить 8,5 мільйонів доларів.

Проблема забезпечення найважливіших зусиль з відкритим вихідним кодом належить Alpha

OpenSSF — це організація під керівництвом Linux Foundation, завданням якої є надання допомоги у захисті програмного забезпечення з відкритим кодом у багатьох аспектах розробки програмного забезпечення та життєвого циклу ланцюга поставок.

У травні організація оголосила про багаторічний план захисту всього програмного забезпечення з відкритим кодом. Це зусилля, яке має велику ціну в 147,9 мільйонів доларів. Альфа-Омега — це підмножина ширших цілей OpenSSF щодо захисту всього програмного забезпечення з відкритим кодом. Замість того, щоб захищати все, мета Alpha-Omega полягає в тому, щоб докласти конкретних зусиль, щоб допомогти захистити найважливіше програмне забезпечення з відкритим кодом.

Node.js є одним із благодійників Alpha-Omega та випускає щомісячні оновлення щодо свого прогресу з травня. Node.js є одним із найпопулярніших фреймворків JavaScript із відкритим вихідним кодом і широко використовується як для зовнішньої, так і для внутрішньої веб-розробки. Завдяки підтримці Alpha-Omega проект Node.js зміг активувати робочу групу Node Security Working Group, яка розробляла модель загроз для технології.

Група також працювала над інтеграцією безпеки безпосередньо в інфраструктуру розробки додатків безперервної інтеграції/безперервного розгортання (CI/CD) для автоматичного визначення потенційних уразливостей.

Eclipse Foundation, який містить свій власний великий список проектів розробників з відкритим кодом, включаючи Eclipse IDE (інтегроване середовище розробки), також активно отримує користь від Alpha-Omega. У рамках цих зусиль Eclipse Foundation знаходиться в процесі створення програмного забезпечення (SBOM) для всіх своїх проектів. Зараз також проводяться детальні перевірки безпеки найважливішого проекту Eclipse Foundation.

Щодо Omega, однією з головних подій за останній рік став випуск інструменту Omega Analyzer для аналізу інформації про безпеку.

Сковетта сказав, що основу для Omega Analyzer внесла в проект Microsoft. Він пояснив, що аналізатор може організовувати понад 25 різних інструментів безпеки, які розробники можуть вибрати для запуску в проекті з відкритим кодом для пошуку різних типів проблем безпеки та дефектів програмного забезпечення.

«Він призначений для дослідників безпеки, щоб мати більш ефективний робочий процес у розумінні речей», — сказав він.

Аналізатор Omega вже знайшов численні вразливості, і Scovetta очікує, що буде знайдено ще багато, оскільки цей інструмент буде використовуватися ширше в наступному році.

Вивчені уроки та дорога попереду

Хоча Альфа-Омега досягла прогресу в 2022 році, попереду ще багато роботи.

Проект також вчиться з уроків свого першого року, щоб бути ще більш впливовим на наступний рік. Серед уроків, які висвітлив Сковетта, є те, скільки насправді роботи вимагає повідомлення про вразливості.

«Я вважаю, що ми, можливо, недооцінили кількість зусиль, необхідних для реєстрації вразливості, і зв’язувалися з відповідальним за підтримку, чекали, поки щось буде виправлено», — сказав Сковетта.

З цією метою він зазначив, що в проекті Alpha-Omega велися активні дискусії про те, як масштабувати звіти про вразливості для проектів з відкритим кодом. На цей виклик ще немає очевидної відповіді, але Сковетта підкреслив, що це проблема, над якою працює Alpha-Omega.

«Нам справді потрібно зосередитися на вирішенні цієї проблеми, і я не зовсім впевнений, як ми збираємося це зробити, але я знаю, що це майже на вершині нашого списку невирішених проблем», — сказав він.

Місія VentureBeat має стати цифровою міською площею для тих, хто приймає технічні рішення, щоб отримати знання про трансформаційні корпоративні технології та транзакції. Відкрийте для себе наші брифінги.

Leave a Comment