(图片来源网络,侵删)
为进一步改善开源软件(OSS)的安全现状,OpenSSF 今天宣布启动 Alpha-Omega 项目,从而让软件安全专家直接参与和执行自动安全测试。该项目已经获得了 500 万美元的启动资金,并得到了包括微软、Google 在内的诸多科技巨头的支持。OpenSSF 总经理 Brian Behlendorf 表示:“我们必须认识到开源软件是现代社会关键基础设施的重要组成部分,因此要采取一切必要措施来保证它和我们的软件供应链的安全。Alpha-Omega 以公开和透明的方式支持这一努力,通过主动发现、修复和预防漏洞,直接提高开源项目的安全性。这是我们 OpenSSF 希望成为改善开放源代码安全的主要渠道的开始”。Alpha-Omega 项目试图通过“系统地寻找开放源代码中尚未发现的新漏洞,然后与项目维护者合作,使其得到修复”,来提升全球开放源码软件供应链的安全性。微软 Azure 的首席技术官 Mark Russinovich 表示:“能支持 OpenSSF 和 Alpha-Omega 项目,我们感到非常自豪。开源软件是我们技术战略的一个关键部分,我们必须了解伴随着我们所有的软件依赖的安全风险。Alpha-Omega 将通过与维护者的直接接触以及使用最先进的安全工具来检测和修复关键的漏洞,为关键的开源项目提供保证和透明度。我们期待着与行业伙伴和开源社区就这一重要举措进行合作”。该项目中的 Alpha 将帮助最关键的开源项目(包括独立项目和核心生态系统服务)的维护者识别和修复安全漏洞,并提升其安全态势。这些项目将根据 OpenSSF 保障关键项目工作组的工作,在专家意见和数据的帮助下进行选择。而 Omega 则确定至少 10,000 个广泛部署的开放源码软件项目,在这些项目中,它可以将自动安全分析、评分和补救指导应用于其开放源码维护者社区。Omega 软件工程师团队将调整分析管道,以减少假阳性率并检测新的漏洞。
0 评论