For flere dage sidens Google afslørede initiativet Secure Open Source (SOS), hvad give bonusser for arbejde i forbindelse med styrkelse af kritisk open source -software og hvortil der er afsat en million dollars til de første betalinger, men hvis initiativet anerkendes som vellykket, fortsætter investeringen i projektet.
Vederlagsanmodninger accepteres kun ved accepterede ændringer i projekter med et kritikalitetsniveau på mindst 0.6 ifølge OpenSSF Critically Score eller inkluderet på listen over projekter, der kræver særlig sikkerhedskontrol.
Arten af de foreslåede ændringer bør relateres til forbedring af sikkerheden på områder såsom styrkelse af beskyttelsen af infrastrukturelementer (f.eks. Kontinuerlig integration og distributionsprocesser), implementering af verifikationssystemer til digitale signaturer af komponenter i softwareprodukter, forøgelse af produktet niveau (anmeldelse, filialbeskyttelse, Fuzzing -test, beskyttelse mod afhængighedsangreb).
I løbet af det sidste år har vi foretaget en række investeringer for at styrke sikkerheden ved kritiske open source-projekter, og vi annoncerede for nylig vores forpligtelse på 10 milliarder dollar til cybersikkerhedsforsvar, herunder $ 100 millioner til støtte for tredjepartsfonde, der administrerer open source-sikkerheden prioriteter og hjælp til at løse sårbarheder.
Angående størrelsen af bonusser, vil disse blive udstedt som følger:
- $ 10,000 eller mere - Til introduktion af langsigtede, betydelige, betydelige og komplekse forbedringer, der beskytter mod alvorlige sårbarheder i åben projektkode eller infrastruktur.
- $ 5000 - $ 10000 - til opgraderinger af medium vanskeligheder, der har en positiv effekt på sikkerheden.
- $ 1000- $ 5000 for opgraderinger af moderate vanskeligheder for at øge sikkerheden.
- $ 505 - til små sikkerhedsforbedringer.
I dag er vi glade for at kunne annoncere vores sponsorat af pilotprogrammet Secure Open Source (SOS) ledet af Linux Foundation. Dette program belønner udviklere økonomisk for at forbedre sikkerheden ved kritiske open source -projekter, som vi alle er afhængige af. Vi starter med en investering på 1 million dollars og planlægger at udvide programmets rækkevidde baseret på feedback fra lokalsamfundet.
På den anden side OSTIF (Open Source Technology Enhancement Fund), oprettet for at styrke sikkerheden ved open source -projekter, annoncerede et partnerskab med Google, der udtrykte sin vilje til at finansiere en uafhængig sikkerhedsrevision af 8 projekter åben kilde.
Med de midler, der blev modtaget fra Google, blev det besluttet at revidere Git, Lodash JavaScript-biblioteket, PHP Laravel-rammen, Slf4j Java-rammen, Jackson JSON-bibliotekerne (Jackson-core og Jackson-databind) og Apache Http-komponenterne (Httpcomponents- kerne og Httpkomponenter).
Googles support gør det muligt for OSTIF at lancere Managed Audit Program (MAP), som vil udvide vores dybdegående sikkerhedsanmeldelser til flere projekter, der er vigtige for open source-økosystemet.
Tidligere brugte de midler, der blev modtaget som følge af indsamlingen af donationer, fonden OSTIF har allerede revideret OpenSSL, VeraCrypt, OpenVPN, Monero, Ubundet projekter DNS og QRL.
Separat har fællesskabet allerede samlet værktøjer til revision af PHP Symfony -rammerne. I tilfælde af yderligere finansiering til revisionen planlægges også Systemd, Electron, Rails, Drupal, Joomla, WebPack, Reprepro, Ceph, React Native, Salt, Ansible, Angular, Gatsby og Guava -projekter.
Dette markerer stor succes med at tiltrække store virksomhedsdonorer til at understøtte OSTIF's model for forbedring af open source -software gennem sikkerhedsanmeldelser og kildekoderevisioner.
Valget blev foretaget empirisk baseret på en konsekvensanalyse af sikkerhed af projektet i open source -økosystemet og den potentielle fordel for samfundet ved at øge sikkerheden i de pågældende projekter. For omkring 100 projekter på GitHub blev en koefficient beregnet under hensyntagen til faktorer som anvendelsens popularitet som afhængighed, infrastrukturbehov, antal udviklere, udviklingsaktivitet, antal lukkede og ikke-lukkede fejlmeddelelser, antal organisationer, der støtter projektet, hyppighed af opdateringer, historik over identifikation af sårbarhed osv.
Kilder: https://ostif.org/, https://security.googleblog.com/