Американские ИТ-компании запустили проект поиска уязвимостей в открытом ПО

Проект обеспечения информационной безопасности программного обеспечения (ПО) с открытым исходным кодом «Альфа-Омега» (Alpha-Omega) запущен отраслевой некоммерческой организацией Open Source Security Foundation (OpenSSF), 1 февраля сообщает американское аналитическое интернет-издание SiliconANGLE.

Инициатива была запущена после встречи представителей крупных американских компаний, работающих в области информационных технологий (ИТ), федеральных ведомств и профильных некоммерческих организаций по вопросу безопасности открытого ПО в Белом доме.

Участники встречи решили, что необходимо в опережающем режиме устранять проблемы безопасности открытого ПО, поскольку его использует множество компаний. Критическая уязвимость в одном популярном продукте может привести к проблемам множества эксплуатирующих его организаций и их клиентов.

«Альфа-Омега» запущена OpenSSF при финансировании со стороны Google, Microsoft, Intel и других технологических компаний. Кроме того, специалисты ИТ-корпораций будут участвовать в работе проекта. Первоначальные инвестиции в проект составят $5 млн.

Проект подразумевает два малозависимых направления работы. «Альфа» будет заниматься подробным изучением наиболее критичного для отрасли открытого ПО. Эти продукты будут изучаться тщательно, рекомендации по исправлению потенциальных и реальных проблем передаваться разработчикам.

Кроме того, данная рабочая группа сформирует дайджест состояния кибербезопасности важных открытых проектов и будет следить, насколько используются лучше практики в области информационной безопасности.

«Омега» будет использовать средства автоматического сканирования ПО на предмет уязвимостей широкой инфраструктуры ПО. Группа будет проводить тестирование по меньшей мере 10 тыс. проектов с открытым кодом. Также в группе будет выделена команда специалистов, которая будет заниматься доработкой ПО для автоматизированного тестирования на уязвимости.

Запуск подобного проекта, в целом, положительно повлияет на информационную безопасность цифровой экосистемы. Несколько выявленных в декабре 2021 года проблем безопасности в открытой библиотеке журналирования Log4j 2 стали ярким примером, насколько опасной может оказаться одна единственная критическая уязвимость широко используемого открытого ПО. А изучать подобное ПО на уязвимости удобнее как специалистам по информационной безопасности, так и противоположной стороне.

Вместе с тем, плодами будут пользоваться, в первую очередь, американские компании. Во вторую уже все, кто не участвует в проекте, в той мере, насколько материалы будут публиковаться, а проекты своевременно исправляться.

Дополнительным негативным фактором может стать то, что подобный проект может быть использован как во благо, так и с обратной целью. Собранная специалистами информация о потенциальных или реальных уязвимостях может быть использована до исправления любым образом. В том числе в качестве инструмента кибервойск контролирующего проект государства.