Projet Alpha-Omega : améliorer la sécurité de la chaîne d'approvisionnement des logiciels open source

Par:
fredericmazue

ven, 04/02/2022 - 11:59

La fondation OpenSSF (Open Source Sécurity Foundation) a lancé le projet Alpha-Omega, un projet à deux volets visant à améliorer la sécurité des logiciels open source (OSS) grâce à l'engagement direct d'experts en sécurité logicielle et à des tests de sécurité automatisés. Microsoft et Google soutiennent ce projet avec un investissement initial de 5 millions de dollars. 

Le projet Alpha-Omega veut améliorer la sécurité de la chaîne d'approvisionnement OSS mondiale en travaillant avec les responsables du projet pour rechercher systématiquement de nouvelles vulnérabilités non encore découvertes dans le code open source et les corriger. "Alpha" travaillera avec les mainteneurs des projets open source les plus critiques pour les aider à identifier et à corriger les vulnérabilités de sécurité, et à améliorer leur posture de sécurité. "Omega" identifiera au moins 10 000 projets OSS largement déployés où il pourra appliquer une analyse de sécurité automatisée, une notation et des conseils de correction à leurs communautés de responsables open source.

Alpha sera de nature collaborative, ciblant et évaluant les projets open source les plus critiques pour les aider à améliorer leurs postures de sécurité. Ces projets comprendront des projets autonomes et des services écosystémiques de base. Ils seront sélectionnés sur la base des travaux du groupe de travail OpenSSF Securing Critical Projects en utilisant une combinaison d'opinions d'experts et de données. Pour ces projets sélectionnés, les membres de l'équipe Alpha fourniront une aide personnalisée pour comprendre et résoudre les failles de sécurité

Omega utilisera des méthodes et des outils automatisés pour identifier les vulnérabilités de sécurité critiques dans au moins 10 000 projets open source largement déployés. Cela sera accompli en utilisant une combinaison de technologie (analyse à l'échelle du cloud), de personnes (analystes de sécurité triant les résultats) et de processus (signalant de manière confidentielle les vulnérabilités critiques aux parties prenantes du projet OSS). Omega disposera d'une équipe dédiée d'ingénieurs logiciels qui ajustera en permanence le pipeline d'analyse pour réduire les taux de faux positifs et identifier de nouvelles vulnérabilités. Les membres de la communauté Omega fourniront des suggestions sur la manière d'automatiser la détection des vulnérabilités de sécurité à l'avenir et plus généralement sur les moyens efficaces de mettre en œuvre les meilleures pratiques de sécurité.

Le projet Projet Alpha-Omega diffusera un webinaire le 16 février 2022

Site : openssf.org/community/alpha-omega