Ja fa diversos diess Google va donar a conèixer la iniciativa Secure Open Source (SOS), que proporcionarà bonificacions pel treball relacionat amb l'enfortiment de programari crític de codi obert i a el qual s'han destinat un milió de dòlars per als primers pagaments, però si la iniciativa es reconeix com reeixida, la inversió en el projecte continuarà.
Les sol·licituds de remuneració s'accepten només per als canvis acceptats en projectes amb un nivell de criticitat de al menys 0.6 segons la qualificació OpenSSF Critically Score o inclosos en la llista de projectes que requereixen controls de seguretat especials.
La naturalesa dels canvis proposats ha d'estar relacionada amb la millora de la seguretat en àrees com ara enfortir la protecció dels elements de la infraestructura (per exemple, processos d'integració i distribució continus), implementar sistemes de verificació per a signatures digitals de components de productes de programari, augmentar el nivell de l'producte (revisió, protecció de sucursals, fuzzing testing, protecció contra atacs de dependència).
Durant l'any passat, vam fer una sèrie d'inversions per enfortir la seguretat de projectes crítics de codi obert, i recentment anunciem el nostre compromís de $ 10 mil milions per la defensa de la ciberseguretat, inclosos $ 100 milions per recolzar fundacions de tercers que administren les prioritats de seguretat de codi obert i ajuden a solucionar vulnerabilitats.
Pel que fa a les sumes de les bonificacions, Aquestes s'han d'expedir de la següent manera:
- $ 10,000 o més: per introduir millores complexes, significatives i rellevants a llarg termini que ofereixin protecció contra vulnerabilitats greus en el codi o la infraestructura de projectes oberts.
- $ 5000- $ 10000 - per a millores de dificultat mitjana que tinguin un efecte positiu en la seguretat.
- $ 1000- $ 5000 per millores de dificultat moderada per augmentar la seguretat.
- $ 505 - per a petites millores de seguretat.
Avui, ens complau anunciar el nostre patrocini per al programa pilot Secure Open Source (SOS) dirigit per la Fundació Linux. Aquest programa recompensa financerament als desenvolupadors per millorar la seguretat de projectes crítics de codi obert dels quals tots depenem. Estem començant amb una inversió de $ 1 milió i vam planejar expandir l'abast de el programa en base als comentaris de la comunitat.
D'altra banda l'OSTIF (Fons de millora de la tecnologia de codi obert), creat per enfortir la seguretat dels projectes de codi obert, anunciar una associació amb Google, que va expressar la seva disposició a finançar una auditoria de seguretat independent de 8 projectes de codi obert.
Amb els fons rebuts de Google, es va decidir auditar Git, la llibreria Lodash JavaScript, el framework PHP Laravel, el framework Slf4j Java, les llibreries Jackson JSON (Jackson-core i Jackson-databind) i els components Apache http (Httpcomponents-core i Httpcomponents).
El suport de Google permetrà als OSTIF llançar el Programa d'Auditoria administrada (MAP), que ampliarà les nostres revisions de seguretat en profunditat a més projectes vitals per a l'ecosistema de codi obert.
Anteriorment, utilitzant els fons rebuts com a resultat de la recol·lecció de donacions, el fons OSTIF ja va auditar els projectes d'OpenSSL, VeraCrypt, OpenVPN, Monero, Unbound DNS i QRL.
Per separat, la comunitat ja ha recopilat eines per auditar el marc PHP Symfony. En cas de finançament addicional per a l'auditoria, també es planegen projectes systemd, Electron, Rails, Drupal, Joomla, WebPack, Reprepro, CEPH, React Native, Salt, ansible, Angular, Gatsby i Guava.
Això marca un gran èxit a l'atreure grans donants corporatius per donar suport al model d'OSTIF de millorar el programari de codi obert a través de revisions de seguretat i auditories de codi font.
L'elecció es va prendre empíricament amb base a una avaluació de l'impacte de la seguretat de el projecte en l'ecosistema de codi obert i el benefici potencial per a la comunitat a l'augmentar la seguretat dels projectes en consideració. Per voltant de 100 mil projectes en GitHub, es va calcular un coeficient tenint en compte factors com la popularitat de l'ús com a dependència, la demanda d'infraestructures, el nombre de desenvolupadors, l'activitat de desenvolupament, el nombre de missatges d'error tancats i no tancats, el nombre de les organitzacions que donen suport al projecte, la freqüència de les actualitzacions, l'historial d'identificació de vulnerabilitats, etc .
Fonts: https://ostif.org/, https://security.googleblog.com/