开源软件安全的新尝试：Alpha-Omega计划

关键要点

• Log4Shell漏洞的出现引发了对开源软件可靠性的新关注。
• 开源软件的安全问题主要由少数志愿者负责，大部分公司并没有激励去资助这些项目。
• Alpha-Omega计划是一个旨在提高开源项目安全性的倡议，旨在重建人们对开源软件的信任。
• 该计划由Google和Microsoft共同资金支持，已经成功修复了多个关键漏洞。

自2021年12月Log4Shell漏洞出现以来，科技和网络安全领域出现了一个新话题：开源软件可能从根本上存在问题。

虽然包括数百万和数十亿美元的公司在内的几乎所有组织都依赖于开源软件，但大部分代码基本上都是由一小群志愿者维护和保护的，他们中的许多人在全职工作之余进行这些项目。

更令人担忧的是，尽管像Log4Shell这样的安全危机几乎影响到每一个人，但很少有公司有动力去资助形成网络安全生态系统软底部的数千个开源项目的广泛努力。

在Apache漏洞出现后，拜登政府向科技公司发出了一封信，指出开源社区资源缺乏和责任不明确是“国家安全的关键问题”，并呼吁公私部门更好地合作以解决这一问题。

Alpha-Omega计划概览

为此，Open Source Security Foundation发起了一个名为Project AlphaOmega的计划。该计划的目标是恢复人们对悄然推动科技行业的开源软件信任。

“开源软件几乎是现代技术的基础，”OpenSSF的总经理Brian Behlendorf在接受《SC Media》采访时表示。“Alpha-
Omega旨在帮助使这个基础安全、可靠且具有弹性。”

这个由四人团队组成并获得Google和Microsoft500万美元资助的计划，旨在通过Alpha提供资金和通过Omega提供工具，帮助数千个开源项目更有效地识别和修复关键漏洞。到目前为止，该项目已经修复了28个关键漏洞，发现了11个之前未知的关键漏洞，并帮助在五个独特的开源生态系统中资助了专门的安全人员。

虽然这只是众多开源项目中的小小一部分，但Alpha-Omega的发起人MichaelScovetta和Microsoft的首席安全项目经理将2022年描述为“实验之年”，为未来的高层使命奠定了基础。

Scovetta表示：“[Alpha-
Omega]是一个新的尝试，没有现成的手册，因此我们进行了各种实验，以了解开源项目的需求并相应提供解决方案。但同时，未来还有更多挑战等待解决，我们欢迎社区的意见和想法。”

Alpha：自上而下的开源安全

Alpha-Omega的“Alpha”部分旨在资助一些最关键和最广泛使用的开源项目，帮助它们改善安全态势。

Alpha团队要求OpenSSF的安全关键项目工作组列出前100个关键开源项目，以确定干预可能带来最大影响的地方。基于这一名单，团队在五个重要的编程生态系统中投资了200万美元：Node.js、Rust基金会、JQuery、Eclipse基金会和Python软件基金会。

尽管如此，团队也在努力解决如何准确量化许多项目的重要性的问题，因为他们认为几乎所有项目都重要，许多项目都可能被恶意黑客利用攻击商业和用户。这五个组织的选择是因为它们已经与安全人才建立了关系，能够招聘和管理其工作，从而使Alpha团队能够用更少的资源做更多的事情。

英特尔的安全传播主管ChristopherRobinson及OpenSSF技术顾问委员会成员指出，这一做法是“明智之举”，因为它将急需的资源引导给了拥有更大影响力的开源维护者。

Eclipse基金会，负责许多围绕Java生态系统的关键项目，成为Alpha计划的最大受益者之一。在去年获得Alpha资助的50万美元后，Eclipse基金会为包括、和在内的三个高调项目进行了安全审计。今年Alpha又提供了100万美元的资助，将支持Eclipse为另外三个尚未确定的关键项目进行审计