聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

微软和谷歌投资500万美元，助力开源安全基金会 (OpenSSF) 推出 Alpha-Omega 项目，改进开源软件生态系统的安全。

美国政府和行业领袖在白宫就 Log4j安全事件举行会议后，Linux 基金会宣布推出 Alpha-Omega 项目。该项目的目的是和项目维护人员合力发现并修复开源代码中的新0day，改进开源软件供应链安全。

微软 Azure 的首席技术官 Mark Russinovich 表示，“了解所有软件依赖中的安全风险至关重要。Alpha-Omega 将通过和维护人员直接合作，为关键开源项目提供保证和透明度，使用最新安全工具检测并修复严重漏洞。”

从开头到结尾

该项目的开头部分 (Alpha) 涉及根据专家意见和数据如 OpenSSF 严重性评分和哈佛的 Census 分析挑选最重要的开源项目，之后提供威胁建模、自动化安全测试和源代码审计，且将助力修复所发现的任何漏洞。

该项目的结尾部分（Omega）将使用自动化方法和工具从至少1万个广泛部署的开源项目中找到严重的安全漏洞，结合技术（云规模分析）、人（安全分析分类研究）和流程（向适当的OSS项目相关者以机密方式报告关键漏洞）软件工程师将持续通过分析管道降低误报率并找到新漏洞。

坚实的基础

谷歌基础设施副总裁 Eric Brewer 指出，“重要开源软件的长尾即项目的‘Omega’ 部分总是最难的部分，它不仅要求大规模的资助和持久性，而且还推动大规模的漏洞追踪和修复自动化。自动化赋能将是开源安全的最重要提升方法之一。“

Log4j 漏洞和其它漏洞说明，通常而言开源软件非常缺少资源。业内专家认为 Alpha-Omega项目的成功将推动更多的贡献者为该项目做贡献。

推荐阅读

在线阅读版：《2021中国软件供应链安全分析报告》全文

如何避免开源安全噩梦？

欧盟委员会支持5个开源项目漏洞奖励计划，奖金池20万欧元

奇安信开源卫士率先通过可信开源治理工具评估

热门开源CMS平台 Umbraco 中存在多个安全漏洞，可使账户遭接管

详细分析开源软件项目 Ajax.NET Professional 中的RCE 漏洞（CVE-2021-23758）

白宫和科技巨头在开源软件安全峰会上说了啥？

NPM 修复两个严重漏洞但无法确认是否已遭在野利用，可触发开源软件供应链攻击

原文链接

https://www.bleepingcomputer.com/news/security/cisa-orders-federal-agencies-to-patch-actively-exploited-windows-bug/

https://openssf.org/press-release/2022/02/01/openssf-announces-the-alpha-omega-project-to-improve-software-supply-chain-security-for-10000-oss-projects/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~

点击“阅读原文”，马上试用开源卫士！