GoogleとMicrosoftが提携しているOpen Source Security Foundation (OpenSSF)は、Alpha-Omegaプロジェクトを発表した。オープンソースソフトウェア(OSS)プロジェクト全体のサプライチェーンセキュリティを改善するためのものだ。このプロジェクトは、最も広く展開されている重要なOSSプロジェクトのセキュリティ体制の改善に焦点を当てている。
このプロジェクトには2つの主要なイニシアチブがある。Alphaは、OSSプロジェクトの保守担当者と協力して、プロジェクトのコード内で発見されていない脆弱性を探して対処する。Omegaは、最も広く展開されているOSSプロジェクトのうち少なくとも10,000を特定し、それに対してセキュリティ分析、スコアリング、修復ガイダンスを自動的に適用する。
OpenSSFのゼネラルマネージャーBrian Behlendorf氏は、次のように述べている。
Alpha-Omegaはオープンで透明性のある方法でこの取り組みをサポートします。脆弱性の積極的な発見、修正、防止を通してオープンソースプロジェクトのセキュリティを直接改善します。これが、OpenSSFがOSSセキュリティを改善するための主要なチャネルになることを望んでいることの始まりです。
チームは、プロジェクトのAlpha部分は本質的に協調的であり、スタンドアロンおよびコアエコシステムOSSプロジェクトに焦点を当てると述べている。対象のプロジェクトは、OpenSSF Securing Critical Projectsワーキンググループによって行われた作業に基づいて選択される。このグループは、重要なOSSプロジェクトを「意図しない重大な脆弱性がある場合、またはソースリポジトリや配布パッケージのいずれかで破壊された場合に特に大きな影響を与える可能性がある」プロジェクトとして定義している。
ワーキンググループは、OpenSSF重要度スコア、ハーバード大学の国勢調査プログラムII、OSTIF管理監査プログラムを含むいくつかの異なる分析の結果を、重要なOSSプロジェクトの現在の中間リストにまとめた。重要度スコアは、プロジェクトに0(最も重要度が低い)と1(最も重要度)の間のスコアを割り当てることにより、プロジェクトの影響と重要性を定義することを目的としている。定義されたアルゴリズムを使用して、プロジェクトの年齢、貢献者の数、依存関係の数など、いくつかのパラメーターを測る。重要なプロジェクトのリストがいくつかあり、それらの重要度スコアはGoogle Cloud Storageで確認できる。
Alphaチームのメンバーによって提供される支援には、脅威のモデリング、ソースコードの監査、セキュリティテストの自動化支援、特定された問題に対処する直接的なサポートなどが提案されている。さらに、OpenSSFスコアカードとOpenSSFベストプラクティスバッジプロジェクトをベースとしたベストプラクティスの実装を支援する可能性がある。
Omegaは、手順の自動化、セキュリティ分析のトリアージ、機密レポートを利用して、少なくとも10,000の重要なOSSプロジェクトの脆弱性を特定して修正する。MicrosoftとGoogleからの資金提供を通じて、Omegaはこの分析パイプラインに取り組むソフトウェアエンジニアの専任チームを持つ予定である。
OpenSSFは、これらのOSSプロジェクトのセキュリティ体制の改善を支援する作業に加えて、これらのプロジェクトのセキュリティの健全性に関するより良いインサイトを利害関係者に提供するためのメトリックを追跡すると述べている。彼らは「一般の人々は、プロジェクトのセキュリティ体制とセキュリティのベストプラクティスへの準拠について、透明で標準化された見解を得られるであろう」と述べている。
プロジェクトの詳細については、OpenSSFのWebサイトを参照してください。OpenSSFは、Alpha-Omegaに関心のあるグループがSecuring Critical Projectsワーキンググループに参加することを奨励している。