"阿尔法 "将与最关键的开源项目的维护者合作,帮助他们识别和修复安全漏洞,并改善其安全状况。"欧米茄 "将确定至少10,000个广泛部署的开放源码软件项目,它可以将自动安全分析、评分和补救指导应用于其开放源码维护者社区。
与开放源码软件项目维护者合作,系统地发现开放源码中新的、尚未发现的漏洞--并将其修复--以提高全球软件供应链的安全性。
我们正在招聘!
加入我们的团队,帮助我们加深Alpha-Omega对开源供应链的影响。
更多关于阿尔法和奥米加的信息
阿尔法。专注于最关键的开放源码软件项目
阿尔法将是合作性质的,针对和评估最关键的开源项目,以帮助他们改善其安全态势。这些项目将包括独立的项目和核心生态系统服务。它们将根据OpenSSF的工作来选择 保障关键项目工作组 使用专家意见和数据的组合,包括OpenSSF 关键性得分 和 哈佛的 "人口普查 "分析 识别关键的开放源码软件。
对于这些选定的项目,Alpha团队成员将提供有针对性的帮助,以了解和解决安全漏洞。帮助可以包括威胁建模、自动安全测试、源代码审计,以及对发现的漏洞进行修复的支持。它还可以包括实施从OpenSSF概述的标准中提取的最佳实践。 记分卡 和 最佳实践奖章 项目。
Alpha将跟踪一系列重要的指标,为利益相关者提供一个更好的了解他们所依赖的开源项目的安全性。公众将收到一个透明的、标准化的项目安全态势和对安全最佳实践的遵守情况的视图。
欧米茄:关注开放源码软件项目的长尾部分
欧米茄将使用自动方法和工具来识别至少10,000个广泛部署的开源项目的关键安全漏洞。这将通过技术(云规模分析)、人员(安全分析师对发现的问题进行分流)和流程(向正确的开放源码项目利益相关者秘密报告关键漏洞)的组合来完成。欧米茄将有一个专门的软件工程师团队不断调整分析管道,以减少假阳性率和识别新的漏洞。
欧米茄社区成员将提供关于未来如何自动检测安全漏洞的建议,以及更普遍的关于实施安全最佳实践的有效方法。
常见问题
公众的参与模式是什么?个人如何参与?
目前,公众参与的最佳方式是通过OpenSSF工作组。特别是 确保关键项目的安全, 开放源码软件开发者的最佳实践,以及 漏洞披露 群体。我们还将举办一个 每月公开会议 在每个月的第一个星期三。
各组织如何参与?
请引导你们组织的同事参加这些工作组。 如果你有兴趣帮助资助Alpha-Omega,请直接联系我们,地址是 http://members.openssf.org/.
欧米茄安全研究小组是由社区驱动的,贡献者来来去去,还是经过挑选的、一致的个人?
最初,这些将是工作人员的职位,由Linux基金会雇用,以专门的方式在Omega上工作。我们正在探索让社区参与并做出有意义的贡献的方法。
如何确定关键项目?
一个OpenSSF工作小组已经创建了一个初步的关键项目清单,以开始确定工作的优先次序。最初的重点将是我们可以快速学习并产生影响的领域。
你将如何与你发现漏洞的开放源码软件项目互动?
我们将继续依靠OpenSSF工作组和我们自己的内部团队进行指导。我们不太可能偏离正常的最佳实践。直接与维护者合作是关键,我们不会在没有建立初步关系的情况下开始寻找漏洞。
Alpha-Omega是一个防止黑客攻击的安全项目,还是要利用Alpha-Omega增加另一层安全?
Alpha-Omega既不是良好安全实践的开始也不是结束。我们的目标是减少生态系统中严重可利用漏洞的数量,使攻击者更难进行攻击。这是对许多其他工作的补充,所以从这个角度来说,是的,Alpha-Omega就像一个额外的保护层,将被引导到产生最大的影响。
