Linux Foundation запускает проект Alpha Omega — новую инициативу по усилению безопасности критически важных приложений с открытым исходным кодом. В него вложатся, в том числе, Microsoft и Google. Первоначальные инвестиции оценили в $5 млн.
Linux Foundation использует превентивный подход, который, по сути, направлен на предотвращение ошибок, связанных с безопасностью, а также на их быстрое выявление. Проект будет оказывать техническую помощь, использовать ручную проверку кода и любые инструменты для выявления критических уязвимостей. Кроме того, Alpha Omega обеспечит наставничество специалистам по сопровождению программного обеспечения.
Сложность современного программного обеспечения требует не только написания основного кода с учетом требований безопасности. Безопасность становится неотъемлемой частью конвейеров CI/CD. Однако основы безопасности не преподают в рамках обучения в колледже или в области компьютерных наук, и поэтому Linux Foundation создал Open Source Security Foundation (OpenSSF), поставив своей целью обучить разработчиков раскрытию информации об уязвимостях, использованию инструментов безопасности, лучшим практикам безопасности, выявлению угроз безопасности для проектов с открытым исходным кодом, защите критически важных проектов.
Этот курс позволит разработчикам программного обеспечения создавать и поддерживать системы, которые гораздо сложнее атаковать успешно, а также уменьшать ущерб при успешных атаках и ускорять реагирование на скрытые уязвимости.
Alpha Omega будет обеспечивать связь с сопровождающими выбранных проектов, чтобы предоставить индивидуальную помощь, а также помочь в использовании лучших практик. Но из-за ограниченного распределения ресурсов будут поддерживаться максимум пара десятков проектов. Их отберут на основе выводов рабочей группы OpenSSF, экспертов и показателя критичности OpenSSF, а также анализа Гарвардской переписи.
В 2021 году Linux Foundation OpenSSF и Лаборатория инновационных наук в Гарварде (LISH) опубликовали итоги опроса, который демонстрирует необходимость дополнительной работы по обеспечению безопасности в программном обеспечении с открытым исходным кодом, в том числе Linux. В конце 2020 года Google разработала специальный рейтинг для оценки открытых проектов по степени важности для отрасли.
