為進一步改善開源軟件(OSS)的安全現狀,OpenSSF 今天宣布啟動 Alpha-Omega 項目,從而讓軟件安全專家直接參与和執行自動安全測試。該項目已經獲得了 500 萬美元的啟動資金,並得到了包括微軟、Google 在內的諸多科技巨頭的支持。
OpenSSF 總經理 Brian Behlendorf 表示:“我們必須認識到開源軟件是現代社會關鍵基礎設施的重要組成部分,因此要採取一切必要措施來保證它和我們的軟件供應鏈的安全。Alpha-Omega 以公開和透明的方式支持這一努力,通過主動發現、修復和預防漏洞,直接提高開源項目的安全性。這是我們 OpenSSF 希望成為改善開放源代碼安全的主要渠道的開始”。
Alpha-Omega 項目試圖通過“系統地尋找開放源代碼中尚未發現的新漏洞,然後與項目維護者合作,使其得到修復”,來提升全球開放源碼軟件供應鏈的安全性。
微軟 Azure 的首席技術官 Mark Russinovich 表示:“能支持 OpenSSF 和 Alpha-Omega 項目,我們感到非常自豪。開源軟件是我們技術戰略的一個關鍵部分,我們必須了解伴隨着我們所有的軟件依賴的安全風險。Alpha-Omega 將通過與維護者的直接接觸以及使用最先進的安全工具來檢測和修復關鍵的漏洞,為關鍵的開源項目提供保證和透明度。我們期待着與行業夥伴和開源社區就這一重要舉措進行合作”。
該項目中的 Alpha 將幫助最關鍵的開源項目(包括獨立項目和核心生態系統服務)的維護者識別和修復安全漏洞,並提升其安全態勢。這些項目將根據 OpenSSF 保障關鍵項目工作組的工作,在專家意見和數據的幫助下進行選擇。
而 Omega 則確定至少 10,000 個廣泛部署的開放源碼軟件項目,在這些項目中,它可以將自動安全分析、評分和補救指導應用於其開放源碼維護者社區。Omega 軟件工程師團隊將調整分析管道,以減少假陽性率並檢測新的漏洞。