Prije nekoliko danas Google je predstavio inicijativu Secure Open Source (SOS), šta osiguravaju bonuse za rad u vezi s jačanjem kritičnog softvera otvorenog koda i kojima je dodijeljeno milijun dolara za prve uplate, ali ako se inicijativa prepozna kao uspješna, ulaganje u projekt će se nastaviti.
Zahtevi za naknadu prihvataju se samo za prihvaćene promene u projektima s razinom kritičnosti od najmanje 0.6 prema OpenSSF kritičnoj ocjeni ili uključeni u listu projekata koji zahtijevaju posebne sigurnosne kontrole.
Priroda predloženih promjena trebala bi biti povezana s poboljšanjem sigurnosti u područjima kao što su jačanje zaštite infrastrukturnih elemenata (na primjer, kontinuirana integracija i distribucijski procesi), implementacija sistema verifikacije digitalnih potpisa komponenti softverskih proizvoda, povećanje proizvoda nivo (pregled, zaštita grana, Fuzzing testiranje, zaštita od napada zavisnosti).
U protekloj godini uložili smo brojne investicije u jačanje sigurnosti kritičnih projekata otvorenog koda, a nedavno smo objavili i našu posvećenost odbrani od kibernetičke sigurnosti od 10 milijardi dolara, uključujući 100 miliona dolara za podršku zakladama trećih strana koje upravljaju sigurnošću otvorenog koda. prioritete i pomoći u ispravljanju ranjivosti.
Što se tiče iznosa bonusa, oni će se izdavati na sljedeći način:
- 10,000 USD ili više - za uvođenje dugoročnih, značajnih, značajnih i složenih poboljšanja koja štite od ozbiljnih ranjivosti u otvorenom kodu projekta ili infrastrukturi.
- 5000 - 10000 USD - za nadogradnje srednje težine koje imaju pozitivan učinak na sigurnost.
- 1000 do 5000 USD za nadogradnje umjerene poteškoće radi povećanja sigurnosti.
- 505 USD - za mala sigurnosna poboljšanja.
Danas sa zadovoljstvom objavljujemo naše sponzorstvo pilot programa Secure Open Source (SOS) koji vodi Linux fondacija. Ovaj program financijski nagrađuje programere za poboljšanje sigurnosti kritičnih projekata otvorenog koda od kojih svi ovisimo. Počinjemo s ulaganjem od milijun dolara i planiramo proširiti doseg programa na temelju povratnih informacija zajednice.
Sa druge strane OSTIF (Fond za poboljšanje tehnologije otvorenog koda), osnovan radi jačanja sigurnosti projekata otvorenog koda, najavio partnerstvo s Googleom, koji je izrazio spremnost za financiranje nezavisne sigurnosne revizije 8 projekata open source.
Uz sredstva koja je primio Google, odlučeno je da se izvrši revizija Gita, biblioteke Lodash JavaScript, PHP Laravel okvira, Slf4j Java okvira, Jackson JSON biblioteka (Jackson-core i Jackson-databind) i Apache Http komponenti (Httpcomponents- jezgre i Http komponente).
Googleova podrška omogućit će OSTIF-u da pokrene Program upravljane revizije (MAP), koji će proširiti naše dubinske sigurnosne preglede na više projekata od vitalnog značaja za ekosistem otvorenog koda.
Ranije, koristeći sredstva primljena kao rezultat prikupljanja donacija, fond OSTIF je već revidirao projekte OpenSSL, VeraCrypt, OpenVPN, Monero, Unbound DNS i QRL.
Odvojeno, zajednica je već sastavila alate za reviziju PHP Symfony okvira. U slučaju dodatnih sredstava za reviziju, planirani su i projekti Systemd, Electron, Rails, Drupal, Joomla, WebPack, Reprepro, Ceph, React Native, Salt, Ansible, Angular, Gatsby i Guava.
Ovo označava veliki uspjeh u privlačenju velikih korporativnih donatora da podrže OSTIF -ov model poboljšanja softvera otvorenog koda kroz sigurnosne preglede i revizije izvornog koda.
Izbor je napravljen empirijski na osnovu procjene uticaja na bezbjednost projekta u ekosistemu otvorenog koda i potencijalnu korist za zajednicu povećanjem sigurnosti projekata koji se razmatraju. Za oko 100 projekata na GitHub -u izračunat je koeficijent uzimajući u obzir faktore poput popularnosti upotrebe kao ovisnosti, potražnja za infrastrukturom, broj programera, razvojne aktivnosti, broj zatvorenih i zatvorenih poruka o greškama, broj organizacija koje podržavaju projekat, učestalost ažuriranja, historija identifikacije ranjivosti itd.
Fuentes: \ t https://ostif.org/, https://security.googleblog.com/