跳到主要内容

阿尔法-欧米茄项目宣布向关键开源项目和新的欧米茄分析工具链提供超过$1.5百万的赠款

通过 9月 13, 2022#!31周二, 18 10月 2022 08:31:47 -0700p4731#31周二, 18 10月 2022 08:31:47 -0700p-8America/Los_Angeles3131America/Los_Angelesx31 18上午31-周二, 18 10月 2022 08。31:47 -0700p-8America/Los_Angeles3131America/Los_Angelesx312022周二, 18 10月 2022 08:31:47 -07003183110上午星期二=95#!31周二, 18 10月 2022 08:31:47 -0700pAmerica/Los_Angeles10#10月 18, 2022#!31周二, 18 10月 2022 08:31:47 -0700p4731#/31周二, 18 10月 2022 08:31:47 -0700p-8America/Los_Angeles3131America/Los_Angelesx31#!31周二, 18 10月 2022 08:31:47 -0700pAmerica/Los_Angeles10#阿尔法-奥米加, 博客
Alpha-Omega Project

作者:Michael Scovetta(微软)和Michael Winser(谷歌)。

作为OpenSSF对关键开源项目持续投资的一部分,我们很高兴地宣布新的伙伴关系和工具,这些工具来自于 α-Omega项目.阿尔法-欧米茄将通过向拉斯特基金会提供$46K的资助来赞助关键安全工作。这项工作扩大了以前的资金 宣布 在今年早些时候在奥斯汀举行的OpenSSF日上为Python软件基金会(PSF)和Eclipse基金会,以及为Node.js 宣布 今年4月,我们的总投资超过了$1.5百万。Alpha-Omega团队最近还发布了Omega分析工具链的初始版本,该工具链协调了20多个不同的安全分析器来识别开源软件包中的关键安全漏洞。 

新拉斯特基金会伙伴关系

阿尔法-欧米茄团队已经与以下方面达成了协议 拉斯特基金会 以$46K的资助来赞助关键的安全工作。Rust基金会是一个非营利组织,致力于支持和维持Rust编程语言。这些资金将被用于

  • 准备一个鲁斯特生态系统的威胁模型。
  • 评估Rust构建/部署基础设施的安全性,并推动相关改进。
  • 提高Rust的安全性。

"Rust基金会很高兴得到OpenSSF和Alpha-Omega项目的支持,以支持其新的安全团队,"Rust基金会的执行董事Bec Rumbul说。"这笔资金正在启动Rust生态系统中重要的前瞻性工作,这将确保Rust继续成为每个人的安全、安全和可持续的语言。"

Node.js和Eclipse基金会合作关系更新

Node.js

开源软件项目 Node.js 是无处不在的,人们对用Node.js构建的产品和服务给予了很大的信任。到目前为止,Node.js的$30万拨款是通过以下成就来衡量的。

  • 改进了节点安全发布流程。
  • 处理了20多个漏洞报告,并发布了安全补丁。 
  • 重新启动了Node安全工作组,为Node.js建立了安全和威胁模型;为Node模块建立了实验性的权限模型,并为Node.js的CI增加了自动漏洞。

日蚀基金会

ǞǞǞ 日蚀基金会 为其全球社区的个人和组织提供一个成熟的、可扩展的、商业友好的开源软件合作和创新环境。对Eclipse的$40万拨款是通过以下成就来衡量的。

  • 对所有Eclipse基金会的项目运行Scorecard并分析结果。
  • 在少数储存库中发现了危险的工作流程(正在进行修复)。

正在计划将组织令牌权限改进为只读或帮助项目配置它们,在他们的存储库中配置Dependabot或翻新,为大多数存储库启用标签保护并启用静态分析(CodeQL、SonarCloud或Sonatype Lift)。

发布欧米茄分析工具箱

阿尔法-欧米茄团队最近发布了初始版本的 欧米茄分析工具链它协调了超过27个不同的安全分析器来识别开源软件包中的关键安全漏洞。这个工具链是由微软贡献给OpenSSF的,它被用来识别在 "安全 "中描述的漏洞。 CVE-2022-32222CVE-2022-38018我们已经使用这个工具链试验了 "全自动安全审查",并将在未来进行扩展和改进。我们还与OpenSSF合作,使用这个工具链来试验 "完全自动化的安全审查"。 安全评论 项目。

参与其中

阿尔法-欧米茄项目很高兴能够与许多重要的开源安全计划建立伙伴关系并支持其工作。开发者社区的贡献和支持,以及 成员公司 是使OpenSSF如此成功的原因。了解更多关于您如何与您的业界同行一起支持OpenSSF的信息,请填写以下表格 此表格 并由OpenSSF代表与您联系。我们也鼓励个人捐款者加入我们的努力。 查看您参与OpenSSF的多种方式.

这篇文章代表作者的观点,不一定反映所有OpenSSF成员的观点。