Před několika dnys Google představil iniciativu Secure Open Source (SOS), co poskytovat bonusy za práci související s posilováním kritického open source softwaru a kterému bylo na první platby přiděleno milion dolarů, ale pokud bude iniciativa uznána jako úspěšná, investice do projektu budou pokračovat.
Žádosti o kompenzaci jsou přijímány pouze u přijatých změn v projektech s úrovní kritičnosti nejméně 0.6 podle kritického skóre OpenSSF nebo zahrnuty do seznamu projektů, které vyžadují speciální bezpečnostní kontroly.
Povaha navrhovaných změn by měla souviset se zlepšením zabezpečení v oblastech, jako je posílení ochrany prvků infrastruktury (například kontinuální integrační a distribuční procesy), zavedení ověřovacích systémů pro digitální podpisy součástí softwarových produktů, zvýšení produktu úroveň (recenze, ochrana větví, Fuzzing testování, ochrana před útoky závislostí).
Za poslední rok jsme provedli řadu investic na posílení zabezpečení kritických open source projektů a nedávno jsme oznámili náš závazek 10 miliard USD na ochranu před kybernetickou bezpečností, včetně 100 milionů USD na podporu nadací třetích stran, které spravují zabezpečení open source. priority a pomůže opravit chyby zabezpečení.
Ohledně výše bonusů, budou vydány následovně:
- 10,000 XNUMX $ a více - Za vytváření dlouhodobých, významných, relevantních a komplexních vylepšení, která chrání před závažnými zranitelnostmi v otevřeném projektovém kódu nebo infrastruktuře.
- 5000 10000–XNUMX XNUMX $ - za upgrady střední obtížnosti, které mají pozitivní vliv na bezpečnost.
- 1000 5000–XNUMX XNUMX $ za upgrady střední obtížnosti pro zvýšení bezpečnosti.
- 505 $ - za malá vylepšení zabezpečení.
Dnes s potěšením oznamujeme naše sponzorství pilotního programu Secure Open Source (SOS) vedeného Linux Foundation. Tento program finančně odměňuje vývojáře za zlepšení zabezpečení kritických open source projektů, na kterých jsme všichni závislí. Začínáme s investicí 1 milion dolarů a plánujeme rozšířit dosah programu na základě zpětné vazby od komunity.
Na druhou stranu OSTIF (Open Source Technology Enhancement Fund), vytvořený za účelem posílení bezpečnosti open source projektů, oznámila partnerství se společností Google, která vyjádřila ochotu financovat nezávislý bezpečnostní audit 8 projektů otevřený zdroj.
S finančními prostředky získanými od společnosti Google bylo rozhodnuto provést audit Gitu, knihovny JavaScript Lodash, rámce PHP Laravel, rámce Slf4j Java, knihoven Jackson JSON (Jackson-core a Jackson-databind) a komponent Apache Http (Httpcomponents- jádro a komponenty Http).
Podpora společnosti Google umožní společnosti OSTIF spustit program Managed Audit Program (MAP), který rozšíří naše hloubkové kontroly zabezpečení o další projekty zásadní pro ekosystém open source.
Dříve fond využíval prostředky získané v důsledku shromažďování darů OSTIF již auditoval projekty OpenSSL, VeraCrypt, OpenVPN, Monero, Unbound DNS a QRL.
Samostatně již komunita sestavila nástroje pro auditování rámce PHP Symfony. V případě dodatečného financování auditu jsou v plánu také projekty Systemd, Electron, Rails, Drupal, Joomla, WebPack, Reprepro, Ceph, React Native, Salt, Ansible, Angular, Gatsby a Guava.
To představuje velký úspěch při získávání velkých firemních dárců na podporu modelu OSTIF, který vylepšuje software s otevřeným zdrojovým kódem prostřednictvím bezpečnostních kontrol a auditů zdrojových kódů.
Volba byla provedena empiricky na základě posouzení dopadů na bezpečnost projektu v otevřeném zdrojovém ekosystému a potenciální přínos pro komunitu zvýšením bezpečnosti zvažovaných projektů. Pro přibližně 100 XNUMX projektů na GitHub byl vypočítán koeficient s přihlédnutím k faktorům, jako je popularita používání jako závislosti, poptávka po infrastruktuře, počet vývojářů, vývojová aktivita, počet uzavřených a neuzavřených chybových zpráv, počet organizací podporujících projekt, frekvence aktualizací, historie identifikace zranitelnosti atd.
Zdroje: https://ostif.org/, https://security.googleblog.com/