聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
微软和谷歌投资500万美元,助力开源安全基金会 (OpenSSF) 推出 Alpha-Omega 项目,改进开源软件生态系统的安全。
美国政府和行业领袖在白宫就 Log4j安全事件举行会议后,Linux 基金会宣布推出 Alpha-Omega 项目。该项目的目的是和项目维护人员合力发现并修复开源代码中的新0day,改进开源软件供应链安全。
微软 Azure 的首席技术官 Mark Russinovich 表示,“了解所有软件依赖中的安全风险至关重要。Alpha-Omega 将通过和维护人员直接合作,为关键开源项目提供保证和透明度,使用最新安全工具检测并修复严重漏洞。”
从开头到结尾
该项目的开头部分 (Alpha) 涉及根据专家意见和数据如 OpenSSF 严重性评分和哈佛的 Census 分析挑选最重要的开源项目,之后提供威胁建模、自动化安全测试和源代码审计,且将助力修复所发现的任何漏洞。
该项目的结尾部分(Omega)将使用自动化方法和工具从至少1万个广泛部署的开源项目中找到严重的安全漏洞,结合技术(云规模分析)、人(安全分析分类研究)和流程(向适当的OSS项目相关者以机密方式报告关键漏洞)软件工程师将持续通过分析管道降低误报率并找到新漏洞。
坚实的基础
谷歌基础设施副总裁 Eric Brewer 指出,“重要开源软件的长尾即项目的‘Omega’ 部分总是最难的部分,它不仅要求大规模的资助和持久性,而且还推动大规模的漏洞追踪和修复自动化。自动化赋能将是开源安全的最重要提升方法之一。“
Log4j 漏洞和其它漏洞说明,通常而言开源软件非常缺少资源。业内专家认为 Alpha-Omega项目的成功将推动更多的贡献者为该项目做贡献。
推荐阅读
热门开源CMS平台 Umbraco 中存在多个安全漏洞,可使账户遭接管
详细分析开源软件项目 Ajax.NET Professional 中的RCE 漏洞(CVE-2021-23758)
NPM 修复两个严重漏洞但无法确认是否已遭在野利用,可触发开源软件供应链攻击
原文链接
https://www.bleepingcomputer.com/news/security/cisa-orders-federal-agencies-to-patch-actively-exploited-windows-bug/
https://openssf.org/press-release/2022/02/01/openssf-announces-the-alpha-omega-project-to-improve-software-supply-chain-security-for-10000-oss-projects/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
点击“阅读原文”,马上试用开源卫士!