Vor einigen Tagens Google hat die Secure Open Source Initiative vorgestellt (SOS), was? Boni für Arbeiten im Zusammenhang mit der Stärkung kritischer Open-Source-Software bereitstellen und für die eine Million Dollar für die ersten Zahlungen bereitgestellt wurden, aber wenn die Initiative als erfolgreich anerkannt wird, wird in das Projekt weiter investiert.
Vergütungsanträge werden nur für akzeptierte Änderungen akzeptiert in Projekten mit einer Kritikalitätsstufe von mindestens 0.6 gemäß dem OpenSSF Critically Score oder in die Liste der Projekte aufgenommen werden, die besondere Sicherheitskontrollen erfordern.
Die Art der vorgeschlagenen Änderungen sollte sich auf die Verbesserung der Sicherheit in Bereichen wie Stärkung des Schutzes von Infrastrukturelementen (z Ebene (Review, Branch Protection, Fuzzing Testing, Schutz vor Abhängigkeitsangriffen).
Im vergangenen Jahr haben wir eine Reihe von Investitionen getätigt, um die Sicherheit kritischer Open-Source-Projekte zu stärken, und wir haben kürzlich unser Engagement in Höhe von 10 Milliarden US-Dollar für die Cybersicherheit angekündigt, darunter 100 Millionen US-Dollar zur Unterstützung von Drittstiftungen, die die Open-Source-Sicherheit verwalten Prioritäten setzen und Schwachstellen beheben.
Über die Höhe der Boni, werden diese wie folgt ausgegeben:
- 10,000 US-Dollar oder mehr – Für die Einführung langfristiger, bedeutender, bedeutender und komplexer Verbesserungen zum Schutz vor schwerwiegenden Schwachstellen im offenen Projektcode oder in der Infrastruktur.
- $ 5000 – $ 10000 – für Upgrades mit mittlerem Schwierigkeitsgrad, die sich positiv auf die Sicherheit auswirken.
- $ 1000- $ 5000 für Upgrades mit mittlerem Schwierigkeitsgrad, um die Sicherheit zu erhöhen.
- 505 $ - für kleine Sicherheitsverbesserungen.
Heute freuen wir uns, unser Sponsoring des von der Linux Foundation geleiteten Pilotprogramms zu Secure Open Source (SOS) bekannt zu geben. Dieses Programm belohnt Entwickler finanziell für die Verbesserung der Sicherheit kritischer Open-Source-Projekte, von denen wir alle abhängig sind. Wir beginnen mit einer Investition von 1 Million US-Dollar und planen, die Reichweite des Programms basierend auf dem Feedback der Community zu erweitern.
außerdem die OSTIF (Open Source Technology Enhancement Fund), geschaffen, um die Sicherheit von Open-Source-Projekten zu stärken, kündigte eine Partnerschaft mit Google an, die ihre Bereitschaft bekundete, ein unabhängiges Sicherheitsaudit von 8 Projekten zu finanzieren Open Source.
Mit den von Google erhaltenen Mitteln wurde beschlossen, Git, die Lodash-JavaScript-Bibliothek, das PHP-Laravel-Framework, das Slf4j-Java-Framework, die Jackson-JSON-Bibliotheken (Jackson-core und Jackson-databind) und die Apache Http-Komponenten (Httpcomponents- Kern- und HTTP-Komponenten).
Die Unterstützung von Google wird es OSTIF ermöglichen, das Managed Audit Program (MAP) zu starten, das unsere eingehenden Sicherheitsüberprüfungen auf weitere Projekte ausdehnt, die für das Open-Source-Ökosystem von entscheidender Bedeutung sind.
Bisher wurde der Fonds mit den Mitteln aus der Spendensammlung OSTIF hat bereits die OpenSSL-, VeraCrypt-, OpenVPN-, Monero- und Unbound-Projekte geprüft DNS und QRL.
Unabhängig davon hat die Community bereits Tools zum Auditieren des PHP Symfony-Frameworks zusammengestellt. Im Falle einer zusätzlichen Finanzierung des Audits sind auch die Projekte Systemd, Electron, Rails, Drupal, Joomla, WebPack, Reprepro, Ceph, React Native, Salt, Ansible, Angular, Gatsby und Guava geplant.
Dies ist ein großer Erfolg bei der Gewinnung großer Unternehmensspender, die das OSTIF-Modell zur Verbesserung von Open-Source-Software durch Sicherheitsüberprüfungen und Quellcode-Audits unterstützen.
Die Auswahl erfolgte empirisch auf Basis einer Sicherheitsfolgenabschätzung des Projekts im Open-Source-Ökosystem und den potenziellen Nutzen für die Community durch Erhöhung der Sicherheit der betrachteten Projekte. Für rund 100 Projekte auf GitHub wurde ein Koeffizient berechnet unter Berücksichtigung von Faktoren wie der Popularität der Nutzung als Abhängigkeit, Infrastrukturbedarf, Anzahl der Entwickler, Entwicklungsaktivität, Anzahl geschlossener und nicht geschlossener Fehlermeldungen, Anzahl der Organisationen, die das Projekt unterstützen, Häufigkeit der Aktualisierungen, Historie der Schwachstellenerkennung usw. .
Quellen: https://ostif.org/, https://security.googleblog.com/