Open-Source-Sicherheitserfolge, Erkenntnisse und neue Mittel, die von Alpha-Omega von OpenSSF gemeldet werden

Sehen Sie sich hier alle On-Demand-Sitzungen des Smart Security Summit an.

Die Open-Source-Sicherheit hat im Jahr 2022 mehrere Sprünge nach vorne gemacht, vor allem dank der vielfältigen Bemühungen der Open Source Security Foundation, auch bekannt als OpenSSF.

Eines der Vorzeigeprojekte von OpenSSF, das im Februar gestartet wurde, ist das Alpha-Omega-Projekt. Das ursprüngliche Ziel der Bemühungen bestand darin, Unterstützung bei der Verbesserung der Sicherheit einer kleinen Gruppe von Open-Source-Projekten bereitzustellen, bei denen es sich um die Alpha-Komponente handelte. Bei der Omega-Komponente ging es um den Aufbau und die Bereitstellung von Tools, die einem breiteren Spektrum von kritisch wichtigen Open-Source-Bemühungen helfen können. Heute, nach fast einem Jahr Betrieb, hat die OpenSSF heute einen Jahresbericht veröffentlicht, in dem dargelegt wird, was Alpha-Omega tatsächlich getan hat, um den Stand der Open-Source-Sicherheit voranzutreiben.

„Zuerst wussten wir nicht wirklich, wie die Einführung von Alpha aussehen würde“, sagte Michael Scovetta, Chief Security Officer bei Microsoft und einer der Führungskräfte von Alpha-Omega, gegenüber VentureBeat. "Wir hatten gehofft, dass Organisationen Hilfe wollen und bereit sind zu helfen, aber wir hatten nicht viele Daten, um das zu beweisen."

Es stellt sich heraus, dass Open-Source-Organisationen offen für das Angebot von OpenSSF zur Sicherheitsunterstützung waren. Im ersten Jahr wurden Node.js, die Eclipse Foundation, die Rust Foundation, jQuery und die Python Software Foundation in den Alpha-Teil der Alpha-Omega-Bemühungen integriert.

Smart Security Summit auf Abruf

Erfahren Sie mehr über die wesentliche Rolle von KI und ML in der Cybersicherheit und branchenspezifische Fallstudien. Sehen Sie sich noch heute die On-Demand-Sitzungen an.

Die Adoption war nicht auf Organisationen beschränkt, die bereit waren, Unterstützung anzunehmen, sondern auch auf Organisationen, die bereit waren, einen finanziellen Beitrag zu leisten. Zusammen mit dem heutigen Jahresbericht gab die OpenSSF bekannt, dass Amazon 2,5 Millionen US-Dollar für die Alpha-Omega-Bemühungen zugesagt hat. Die Gesamtfinanzierung für das Alpha-Omega-Projekt beläuft sich jetzt auf 8,5 Millionen $.

OpenSSF ist eine von der Linux Foundation geführte Organisation, die dafür verantwortlich ist, Open-Source-Software über mehrere Aspekte der Softwareentwicklung und des Lebenszyklus der Lieferkette hinweg zu schützen.

Im Mai kündigte die Organisation einen Mehrjahresplan an, um dabei zu helfen, sämtliche Open-Source-Software zu sichern. Es ist eine Anstrengung, die mit einem hohen Preis von 147,9 Millionen US-Dollar verbunden ist. Alpha-Omega ist eine Teilmenge der umfassenderen Ziele von OpenSSF, die gesamte Open-Source-Software zu sichern. Anstatt alles zu sichern, ist das Ziel von Alpha-Omega, gezielte Anstrengungen zu unternehmen, um die kritischste Open-Source-Software zu sichern.

Node.js ist ein Wohltäter von Alpha-Omega und veröffentlicht seit Mai monatliche Updates zu seinen Fortschritten. Node.js ist eines der beliebtesten Open-Source-JavaScript-Frameworks und wird häufig für die Front-End- und Back-End-Webentwicklung verwendet. Mit Unterstützung von Alpha-Omega konnte das Node.js-Projekt die Node Security Working Group aktivieren, die ein Bedrohungsmodell für die Technologie entwickelte.

Die Gruppe arbeitete auch daran, Sicherheit direkt in das Anwendungsentwicklungs-Framework für kontinuierliche Integration/Bereitstellung (CI/CD) zu integrieren, um potenzielle Schwachstellen automatisch zu identifizieren.

Die Eclipse Foundation, die ihre eigene lange Liste von Open-Source-Entwicklungsprojekten hostet, darunter...