2020年由Linux基金會成立的開源軟體安全基金會(Open Software Security Foundation,OpenSSF)本周宣布名為Alpha-Omega的計畫,將協助尋找並修補1萬項開源軟體的漏洞。
基本上,OpenSSF是以強化開源軟體安全為宗旨的組織,獲得業界大廠,包括微軟、Google、IBM、英特爾等支持。他們推出的最新計畫Alpha-Omega,是在Log4j漏洞公布後,白宮召集美國軟體及資安界人士共商對策後的結果,當中將透過和軟體專案負責單位,運用自動安全測試工具來促進開源軟體供應鏈的安全性,而在第一階段期間,微軟和Google也將投入500萬美元支持這項計畫。
開源軟體安全基金會總經理Brian Behlendorf指出,開源碼是現代社會關鍵基礎架構的關鍵元素,因此必須儘可能確保軟體供應鏈安全,而Alpha-Omega計畫的推動,可透過發現、修補及預防漏洞,直接改善開源專案的安全性。
同時,這項計畫透過開源軟體專案維護單位,找出程式碼中未發現過的新漏洞,並予以修補。
它分成兩項專案,一是Alpha,一是Omega。Alpha專案是和最關鍵的開源碼專案維護單位合作找出及修補漏洞。至於最關鍵的專案,將由OpenSSF Securing Critical Project工作小組根據專家意見及評分資料來選擇。選定的專案將由Alpha團隊成員提供檢視及修補,包括威脅建模、自動化安全測試、原始碼稽核等,用以修補漏洞。修補工作也可結合OpenSSF資源,包括OpenSSF 評分表或最佳典範等。最終,Alpha專案也會公布相關安全及修補措施。
至於Omega專案,將運用自動化方法和工具,找出至少1萬項常用開源碼專案的重大安全漏洞,當中將結合多種方式,包含:利用雲端規模的分析「技術」、負責分類的安全分析「人員」,以及向正確OSS專案人士祕密通報重大漏洞的「流程」。Omega也會有個安全工程師組成的專門團隊,持續調校分析流程,以減少誤判率及找出新漏洞。
線