作者:Michael Scovetta(微软)和Michael Winser(谷歌)。
Alpha-Omega是OpenSSF的一个项目,成立于2022年2月,其使命是通过维护者的直接参与和专家分析,提高开源软件的安全性来保护社会,试图建立一个关键的开源项目是安全的,安全漏洞被发现并迅速修复的世界。在第一年里,我们帮助资助了一些最重要的开源项目的重要安全工作,并已开始看到这些工作的影响。
我们很高兴分享我们的第一个 年度报告其中描述了我们已经取得的成就,我们学到的东西,以及我们希望在2023年产生的影响。
阿尔法
我们已经提供资金,以提高五个关键开源项目的安全性。Node.js、Eclipse基金会、Rust基金会、jQuery和Python软件基金会。其中一些项目最近刚刚开始,但我们已经看到Node.js和Eclipse团队取得了巨大的进展。
- Node安全工作组被重新激活,并开始为Node.js创建一个威胁模型。该团队一直在为Node模块建立实验性的权限模型,并正在为Node.js持续集成基础设施添加自动化的漏洞检查。最后,他们已经能够对20多个漏洞报告进行分流,并发布多个修复方案,这直接提高了Node.js运行时的安全性。 阅读更多关于Node.js的进展.
- Eclipse团队对所有Eclipse基金会项目进行了记分卡测试。 分析了结果并创建了一个优先活动清单,他们将专注于实现最佳和最广泛的影响,其中包括加固构建基础设施和启用安全工具。 阅读更多关于Eclipse的进展.
欧米茄
通过Omega,我们使用工具和专家分析的组合来识别10,000个最关键的开源项目的安全漏洞。我们的年度报告中与Omega有关的亮点包括。
- 我们最近迎来了我们的第一位全职员工Yesenia Yser,她将帮助我们加快进度。
- 我们发布了一个开源的 分析工具链 旨在扫描开放源码包,并使用这个工具链来识别关键开放源码项目中的11个漏洞。
- 我们发布了实验性工具,包括系统调用追踪器,并在旨在使安全研究和报告更加有效的分流门户方面取得了进展。
- 我们试验了生成完全自动化的安全审查,完全基于工具,并且正在应用这些学习来生成描述项目安全状态的可消耗断言。
新的筹资公告
我们很高兴地宣布,我们已经与亚马逊网络服务(AWS)达成协议,向Alpha-Omega提供$250万美元的资金。这一承诺代表了对全行业合作的承诺,以提高全球软件供应链的安全性。此外,我们正在探索与金融服务信息共享和分析中心(FS-ISAC)建立潜在的伙伴关系。
"AWS对Alpha-Omega项目的额外支持将使我们能够继续扩大我们的影响力,与关键开源项目的维护者一起工作,修复安全漏洞,并将自动安全分析应用于广泛部署的OSS。"
Brian Behlendorf, 总经理, OpenSSF
"开源软件安全是一项共同的责任。通过我们的贡献,我们正在帮助资助Alpha Omega在广泛的开源社区所做的重要工作。通过与其他人共同努力,发现和修复关键开源项目的漏洞,每个使用和建立在开源基础上的人也可以分享到更安全的软件供应链的好处。"
David Nalley,亚马逊网络服务部开源战略和营销主管
如何参与其中
Alpha-Omega重视实验。由于在开源社区内解决安全风险的最佳方法并不总是很清楚,我们将进行投资,学习什么有效,什么无效,并随着时间的推移完善我们的方法。我们欢迎社区对我们用于选择项目的方法和可能产生最大影响的活动类型提出意见。我们欢迎社区通过几个不同的论坛积极参与。
- 我们认为 公开会议 每月一次,并保持一个 Slack频道 在那里,每个人都欢迎参与。
- 作为Alpha-Omega的一部分,所创建的工具都是开源的,对终端用户和贡献者都是可用的。
- 所有OpenSSF工作组都对任何人开放。 参与其中 那里仍然是提高开源生态系统安全性的最佳途径。
此外,我们有兴趣与那些与我们有共同愿景并能帮助我们实现使命的个人和组织进行合作。具体而言,我们对这些关键领域感兴趣。
- 资助:如果你所代表的组织能够为阿尔法-奥米加项目提供资金,请 联系我们.
- 商业工具:如果你代表的安全工具或供应商能够对开源项目进行前沿的安全分析,请 联系我们.
- 关键项目:如果你代表一个重要的开源项目,相信你会通过安全投资获益,并有一个如何利用这些资金的计划,请你 联系我们.
我们期待着一个惊人的2023年,"把钱变成安全"。
