Когда во всем видишь информационные риски или так ли однозначен проект «Альфа-Омега» от OpenSSF?
Дыра в безопасности
1 февраля американское интернет-издание SiliconANGLE сообщило, что после встречи в Белом доме организация Open Source Security Foundation (OpenSSF) при спонсировании и прочем участии крупных технологических компаний США запустила проект «Альфа-Омега» (Alpha-Omega).
Целью проекта является поиск и опережающее исправление программных продуктов с открытым исходным кодом.
Проект подразумевает два не сильно связанных направления работы. «Альфа» будет заниматься подробным изучением наиболее критичного для отрасли открытого ПО. Эти продукты будут изучаться тщательно, рекомендации по исправлению потенциальных и реальных проблем передаваться разработчикам.
Кроме того, данная рабочая группа сформирует дайджест состояния кибербезопасности важных открытых проектов и будет следить, насколько используются лучше практики в области информационной безопасности.
«Омега» будет использовать средства автоматического сканирования ПО на предмет уязвимостей широкой инфраструктуры ПО. Группа будет проводить тестирование по меньшей мере 10 тыс. проектов с открытым кодом. Также в группе будет выделена команда специалистов, которая будет заниматься доработкой ПО для автоматизированного тестирования на уязвимости.
Казалось бы, все здорово, но... Паранойя?
Запуск подобного проекта, в целом, положительно повлияет на информационную безопасность цифровой экосистемы. Несколько выявленных в декабре 2021 года проблем безопасности в открытой библиотеке журналирования Log4j 2 стали ярким примером, насколько опасной может оказаться одна единственная критическая уязвимость широко используемого открытого ПО. А изучать подобное ПО на уязвимости удобнее как специалистам по информационной безопасности, так и противоположной стороне.
Речь о первой из обнаруженных уязвимостей, которая подразумевает основной сценарий атаки Log4Shell.
Вместе с тем, плодами будут пользоваться, в первую очередь, американские компании. Во вторую уже все, кто не участвует в проекте, в той мере, насколько материалы будут публиковаться, а проекты своевременно исправляться.
Дополнительным негативным фактором может стать то, что подобный проект может быть использован как во благо, так и с обратной целью. Собранная специалистами информация о потенциальных или реальных уязвимостях может быть использована до исправления любым образом. В том числе в качестве инструмента кибервойск контролирующего проект государства.