Open source krijgt securitygeld van Microsoft en Google

"Breed ingezette OSS-projecten [opensourcesoftware, red.] die van kritiek belang zijn voor wereldwijde infrastructuur en innovatie zijn topdoelwitten geworden voor aanvallen", stelt de OpenSSF in een persbericht. "Volgend op onthullingen van nieuwe kwetsbaarheden zijn aanvallen binnen enkele uren al te zien. Recent ontdekte kwetsbaarheden in de breed ingezette Log4j-library hebben veel organisaties een crisis bezorgd doordat zij moesten racen met het updaten van applicaties die de populaire library gebruiken vóórdat tegenstanders konden aanvallen."

Systematisch zoeken

De stichting voor het verbeteren van open source kondigt nu het Alpha-Omega Project aan. Dat initiatief moet de wereldwijde toeleveringsketen (supply chain) van opensourcesoftware (OSS) verbeteren wat betreft security. Daarvoor gaat dit project samenwerken met maintainers van OSS-projecten om op systematische wijze te zoeken naar nieuwe, nog niet ontdekte kwetsbaarheden. Om die dan te fixen.

De Alpha-kant van dit beveiligingsproject helpt maintainers van de belangrijkste OSS-projecten om kwetsbaarheden te fixen. Daarbij wordt er ook aandacht en inspanning besteed aan het verbeteren van de beveiligingshouding (security posture) van die projecten en hun maintainers. In het recente verleden hebben kwaadwillenden ook aanvallen ondernomen om binnen te komen in de code van open source, om dan daarlangs diverse gebruikers te kunnen compromitteren.

Grootschalige analyse

De Omega-kant van het OpenSSF-beveiligingsproject gaat meer dan 10.000 wijdverbreide OSS-projecten in kaart brengen waar geautomatiseerde security-analyse en -scoring valt toe te passen. Daaruit volgend krijgen maintainers en de opensourcegemeenschap dan richtlijnen voor het verbeteren van de veiligheid van softwarecode. De 5 miljoen dollar van Microsoft en Google voor Alpha-Omega volgt op eerdere investeringen vanuit de ICT-industrie in de OpenSSF.