Linux Foundation запускает инициативу по повышению безопасности критически важных приложений с открытым кодом
Linux Foundation запускает проект Alpha Omega — новую инициативу по усилению безопасности критически важных приложений с открытым исходным кодом. В него вложатся, в том числе, Microsoft и Google. Первоначальные инвестиции оценили в $5 млн.
Linux Foundation использует превентивный подход, который, по сути, направлен на предотвращение появления ошибок, связанных с безопасностью, или на их быстрое выявление. Проект будет оказывать техническую помощь, использовать ручную проверку кода и любые инструменты для выявления критических уязвимостей. Кроме того, Alpha Omega обеспечит наставничество специалистам по сопровождению программного обеспечения.
Сложность современного программного обеспечения требует не только написания основного кода с учетом требований безопасности. Безопасность становится неотъемлемой частью конвейеров CI/CD. Однако основы безопасности не преподают в рамках обучения в колледже или в области компьютерных наук, и по этой причине Linux Foundation создал Open Source Security Foundation (OpenSSF) с целью обучения разработчиков раскрытию информации об уязвимостях, инструментам безопасности, лучшим практикам безопасности, выявлению угроз безопасности для проектов с открытым исходным кодом, защите критически важных проектов.
Этот курс позволит разработчикам программного обеспечения создавать и поддерживать системы, которые гораздо сложнее успешно атаковать, а также уменьшать ущерб при успешных атаках и ускорять реагирование на скрытые уязвимости.
Alpha Omega будет обеспечивать связь с сопровождающими выбранных проектов, чтобы предоставить индивидуальную помощь, а также помочь использовать лучшие практики. Но из-за ограниченного распределения ресурсов будут поддерживаться максимум пара десятков проектов. Их отберут на основе выводов рабочей группы OpenSSF, экспертов и показателя критичности OpenSSF, а также анализа Гарвардской переписи.
В 2021 году Linux Foundation OpenSSF и Лаборатория инновационных наук в Гарварде (LISH) опубликовали итоги опроса, который демонстрирует необходимость дополнительной работы по обеспечению безопасности в программном обеспечении с открытым исходным кодом, в том числе Linux. В конце 2020 года Google разработала специальный рейтинг для оценки открытых проектов по степени важности для отрасли.
