Эксперт указал на проблемы проекта поиска уязвимостей в ПО «Альфа-Омега»

Запущенный американскими технологическими компаниями и организацией Open Source Security Foundation (OpenSSF) проект поиска уязвимостей в программном обеспечении (ПО) с открытым исходным кодом «Альфа-Омега» имеет некоторые проблемы, считает вице-президент по безопасности ПО компании CodeNotary Джек Эбаутбул, 4 февраля сообщает американский портал новостей об информационных технологиях ZDNet.

После встречи представителей американских технологическим компаний, федеральных ведомств и профильных некоммерческих организаций по вопросу безопасности открытого ПО в Белом доме было принято решение о создании проекта поиска уязвимостей «Альфа-Омега».

Проект подразумевает два направления работы. «Альфа» тщательно ищет проблемы в наиболее важном и популярном открытом ПО. «Омега» занимается массовым сканированием большого числа открытых программных продуктов.

Эбаутбул считает, что проект нужный и правильный. Но не лишен недостатков.

Во-первых, инфраструктура проекта достаточно сложная, использует сторонник продукты и полагается на сертификацию проверенных продуктов. При этом заявляется, что «Омега» займется проверкой 10 тыс. открытых продуктов. В таких условиях компрометация любой из систем «Альфа-Омега» приведет проблемам для всей цепочки доверия.

Во-вторых, выделенные Google и Microsoft $5 млн достаточно для запуска самого проекта, но категорически недостаточно для стимуляции тысяч разработчиков открытых проектов, некоторые из которых создают ПО на энтузиазме, оперативно исправлять уязвимости, считает эксперт.