微软谷歌出资500万美元推出 Alpha-Omega 项目,提升软件供应链安全
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
微软和谷歌投资500万美元,助力开源安全基金会 (OpenSSF) 推出 Alpha-Omega 项目,改进开源软件生态系统的安全。
美国政府和行业领袖在白宫就 Log4j安全事件举行会议后,Linux 基金会宣布推出 Alpha-Omega 项目。该项目的目的是和项目维护人员合力发现并修复开源代码中的新0day,改进开源软件供应链安全。
微软 Azure 的首席技术官 Mark Russinovich 表示,“了解所有软件依赖中的安全风险至关重要。Alpha-Omega 将通过和维护人员直接合作,为关键开源项目提供保证和透明度,使用最新安全工具检测并修复严重漏洞。”
从开头到结尾
该项目的开头部分 (Alpha) 涉及根据专家意见和数据如 OpenSSF 严重性评分和哈佛的 Census 分析挑选最重要的开源项目,之后提供威胁建模、自动化安全测试和源代码审计,且将助力修复所发现的任何漏洞。
该项目的结尾部分(Omega)将使用自动化方法和工具从至少1万个广泛部署的开源项目中找到严重的安全漏洞,结合技术(云规模分析)、人(安全分析分类研究)和流程(向适当的OSS项目相关者以机密方式报告关键漏洞)软件工程师将持续通过分析管道降低误报率并找到新漏洞。
坚实的基础
谷歌基础设施副总裁 Eric Brewer 指出,“重要开源软件的长尾即项目的‘Omega’ 部分总是最难的部分,它不仅要求大规模的资助和持久性,而且还推动大规模的漏洞追踪和修复自动化。自动化赋能将是开源安全的最重要提升方法之一。“
Log4j 漏洞和其它漏洞说明,通常而言开源软件非常缺少资源。业内专家认为 Alpha-Omega项目的成功将推动更多的贡献者为该项目做贡献。
推荐阅读
在线阅读版:《2021中国软件供应链安全分析报告》全文
如何避免开源安全噩梦?
欧盟委员会支持5个开源项目漏洞奖励计划,奖金池20万欧元
奇安信开源卫士率先通过可信开源治理工具评估
热门开源CMS平台 Umbraco 中存在多个安全漏洞,可使账户遭接管
详细分析开源软件项目 Ajax.NET Professional 中的RCE 漏洞(CVE-2021-23758)
白宫和科技巨头在开源软件安全峰会上说了啥?
NPM 修复两个严重漏洞但无法确认是否已遭在野利用,可触发开源软件供应链攻击
原文链接
https://www.bleepingcomputer.com/news/security/cisa-orders-federal-agencies-to-patch-actively-exploited-windows-bug/
https://openssf.org/press-release/2022/02/01/openssf-announces-the-alpha-omega-project-to-improve-software-supply-chain-security-for-10000-oss-projects/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
点击“阅读原文”,马上试用开源卫士!
微软谷歌出资500万美元推出 Alpha-Omega 项目,提升软件供应链安全相关推荐
- The Sandbox 向 World of Women 基金会捐赠 2,500 万美元,用于支持女性进入元宇宙
The Sandbox 将在 5 年内向 Wo W基金会提供 2,500 万美元的资金,通过教育来推动对女性的包容性. The Sandbox 很荣幸能与 World of Women(WoW)建立合 ...
- 23岁美国女网红用AI分身交1000多男友!月入500万美元,谈恋爱按分钟计费
[导读]这位23岁的女网红用GPT-4复刻了一个自己后,已经周入7万多美元了.不仅如此,短短几天内,候补名单上就排了差不多1万名男施主. 各种逼真的AI工具火了之后,各路心思活泛的选手都开始大显神通了 ...
- 台商华硕遭500万美元索赔真相调查(二)
重重疑点 在大家看来,全部事件的起因完全是那块存在于黄静电脑中的问题CPU.那么,这块问题CPU是怎样出现的?这中间有没有被人掉包? 华硕官方声明强调:华硕自黄静送修计算机所取下的CPU送回英特尔原厂 ...
- 极客日报:腾讯、字节展开拉锯战;谷歌支付 380 万美元和解此前被指不公平对待女性和亚裔;罗永浩称做锤子科技时太业余...
一.互联网快讯 1.抖音正式起诉腾讯,要求停止封禁,腾讯回应:恶意构陷,抖音二次发声:用户数据不是腾讯私产 2021 年 2 月 2 日,抖音向北京知识产权法院正式提交诉状,起诉腾讯垄断.抖音起诉的依 ...
- 台商华硕遭500万美元索赔真相调查(一)
一起天价索赔案,让华硕郁闷了两年. 2006年,只因一台2万多元的笔记本电脑中奇怪地出现了一颗小小的问题CPU,一个看似瘦弱的高校女孩和一个看似风度翩翩既有大学文化还有诈骗前科的计算机高手,联 ...
- WPS 借助 ML Kit 无缝翻译 43 种语言,每年净省 6,500 万美元
△ 动画说明: 在笔记本电脑屏幕中,汉字 "文" 将变为字母 "A",代表文本的横线将逐一出现,就像有人在输入内容一样. WPS 是一款办公套件软件,可让用户轻 ...
- 美国燃油管道商认怂,俄罗斯黑客收到500万美元赎金!,民众为抢汽油大打出手...
点击上方"视学算法",选择加"星标"或"置顶" 重磅干货,第一时间送达 杨净 发自 凹非寺 量子位 报道 | 公众号 QbitAI 震惊全美 ...
- ar开发 ue4_Oculus计划将UE4“500万美元营收版权分成免除计划”扩展到UE5
(VRPinea 5月21日讯)今日重点新闻:Oculus将在Zoom举行AR/VR游戏开发者研讨会:Immersive VR Education获HTC 330万美元投资:Oculus计划将UE4& ...
- 俄罗斯黑客收到500万美元赎金!美国燃油管道商认怂,民众为抢汽油大打出手...
杨净 发自 凹非寺 量子位 报道 | 公众号 QbitAI 震惊全美国的黑客入侵事件,有了新动向: 美国燃油管道商认怂!向黑客支付赎金. 黑客那边到账500万美元,油价这边应声大跌. 而除了事件中两位 ...
最新文章
- NYOJ 514 1的个数
- Short-Session的推荐如何做?
- JavaScript实现找出买卖股票的最大利润算法(附完整源码)
- 玩转oracle 11g(7):导出导入数据库
- 致敬 hacker |盘点内存虚拟化探索之路
- 在.NET环境中实现每日构建(Daily Build)--ccnet,MSBuild篇
- php session gc_maxlifetime,PHPsession 有效期 session.gc_maxlifetime
- Sqlserver数据库还原.bak文件失败的两个问题
- UI_storyboard实现页面回调
- 电脑硬盘数据不小心格式化后,恢复数据的方法介绍
- python复制上一条语句快捷键_pycharm快捷键及一些常用设置
- Probabilistic Matrix Factorization(概率矩阵分解)
- 没做过项目经理可以考pmp证书吗?普通人考PMP®有用吗?
- 设计师都在用的素材网站,真的纯免费,还能商用
- 【笔记】关于汉字注音 汉字转拼音,首拼
- 补码一位乘(布斯公式)
- (35)代码优化以后的运行结果
- CCF系列题解--2016年12月第三题 权限查询
- Web前端:HTML最强总结 附详细代码
- 打造「可盈利个人品牌」终极指南,8个步骤开始建立你的个人品牌吧!