Преди няколко дниs Google представи инициативата Secure Open Source (SOS), какво осигуряват бонуси за работа, свързана с укрепване на критичен софтуер с отворен код и за които са разпределени милион долара за първите плащания, но ако инициативата бъде призната за успешна, инвестициите в проекта ще продължат.
Исканията за възнаграждение се приемат само за приети промени в проекти с ниво на критичност най -малко 0.6 според критичния рейтинг на OpenSSF или включени в списъка на проекти, които изискват специален контрол на сигурността.
Характерът на предложените промени трябва да бъде свързан с подобряване на сигурността в области като подобряване на защитата на инфраструктурни елементи (например непрекъснати процеси на интеграция и разпространение), внедряване на системи за проверка на цифрови подписи на компоненти на софтуерни продукти, увеличаване на продукта ниво (преглед, защита на клона, Fuzzing тестване, защита срещу атаки на зависимост).
През последната година направихме редица инвестиции за укрепване на сигурността на критични проекти с отворен код и наскоро обявихме нашия ангажимент от 10 милиарда долара за защита на киберсигурността, включително 100 милиона долара за подкрепа на фондации на трети страни, които управляват сигурността с отворен код. приоритети и помагат за отстраняване на уязвимости.
Относно размерите на бонусите, те ще бъдат издадени, както следва:
- $ 10,000 XNUMX или повече - За въвеждане на дългосрочни, значителни, значими и сложни подобрения, които защитават от сериозни уязвимости в отворения код или инфраструктура на проекта.
- $ 5000- $ 10000 - за надстройки със средна трудност, които имат положителен ефект върху безопасността.
- $ 1000- $ 5000 за надстройки с умерена трудност за повишаване на безопасността.
- $ 505 - за малки подобрения в сигурността.
Днес имаме удоволствието да обявим нашето спонсорство на пилотната програма Secure Open Source (SOS), ръководена от Linux Foundation. Тази програма финансово възнаграждава разработчиците за подобряване на сигурността на критични проекти с отворен код, от които всички зависим. Започваме с инвестиция от 1 милион долара и планираме да разширим обхвата на програмата въз основа на обратна връзка от общността.
От друга страна OSTIF (Фонд за подобряване на технологиите с отворен код), създаден за укрепване на сигурността на проекти с отворен код, обяви партньорство с Google, което изрази желанието си да финансира независим одит на сигурността на 8 проекта отворен код.
Със средствата, получени от Google, беше взето решение за одит на Git, библиотеката на JavaScript на Lodash, рамката PHP Laravel, рамката на Slf4j Java, библиотеките на Jackson JSON (Jackson-core и Jackson-databind) и компонентите Apache Http (Httpcomponents- ядро и Http компоненти).
Подкрепата на Google ще позволи на OSTIF да стартира програмата за управляван одит (MAP), която ще разшири задълбочените ни прегледи за сигурност до повече проекти, жизненоважни за екосистемата с отворен код.
Преди това, използвайки средствата, получени в резултат на събирането на дарения, фондът OSTIF вече е одитирал проектите OpenSSL, VeraCrypt, OpenVPN, Monero, Unbound DNS и QRL.
Отделно общността вече е съставила инструменти за одит на рамката на PHP Symfony. В случай на допълнително финансиране за одита, се планират и проекти на Systemd, Electron, Rails, Drupal, Joomla, WebPack, Reprepro, Ceph, React Native, Salt, Ansible, Angular, Gatsby и Guava.
Това бележи голям успех в привличането на големи корпоративни дарители, които да подкрепят модела на OSTIF за подобряване на софтуера с отворен код чрез прегледи на сигурността и одити на изходния код.
Изборът е направен емпирично въз основа на оценка на въздействието върху безопасността на проекта в екосистемата с отворен код и потенциалната полза за общността чрез повишаване на сигурността на разглежданите проекти. За около 100 XNUMX проекта в GitHub беше изчислен коефициент като се вземат предвид фактори като популярността на употребата като зависимост, търсене на инфраструктура, брой разработчици, дейност по разработване, брой затворени и незатворени съобщения за грешки, брой организации, подкрепящи проекта, честота на актуализации, история на идентифициране на уязвимост и др.
Фуентес: https://ostif.org/, https://security.googleblog.com/