Mitu päeva tagasis Google avalikustas turvalise avatud lähtekoodiga algatuse (SOS), mis pakkuda lisatasusid kriitilise avatud lähtekoodiga tarkvara tugevdamisega seotud töö eest ja millele on eraldatud miljon dollarit esimesteks makseteks, kuid kui algatus tunnistatakse edukaks, jätkatakse investeeringuid projekti.
Hüvitistaotlusi võetakse vastu ainult heakskiidetud muudatuste puhul projektides kriitilisuse tasemega vähemalt 0.6 vastavalt OpenSSF -i kriitilisele skoorile või on lisatud spetsiaalsete turvakontrolli vajavate projektide nimekirja.
Kavandatavate muudatuste olemus peaks olema seotud turvalisuse parandamisega sellistes valdkondades nagu infrastruktuuri elementide kaitse tugevdamine (näiteks pidev integreerimine ja levitamisprotsessid), tarkvaratoodete komponentide digitaalallkirjade kontrollsüsteemide rakendamine, toote suurendamine. tase (ülevaade, harude kaitse, hägune testimine, kaitse sõltuvusrünnakute eest).
Viimase aasta jooksul tegime mitmeid investeeringuid kriitiliste avatud lähtekoodiga projektide turvalisuse tugevdamiseks ning teatasime hiljuti oma 10 miljardi dollari suurusest pühendumusest küberturvalisuse kaitsele, sealhulgas 100 miljonit dollarit avatud lähtekoodiga turvalisust haldavate kolmandate osapoolte sihtasutuste toetamiseks. prioriteete ja aitavad parandada haavatavusi.
Mis puudutab boonuste summasid, need väljastatakse järgmiselt:
- 10,000 XNUMX dollarit või rohkem - pikaajaliste, oluliste, asjakohaste ja keerukate täiustuste tegemiseks, mis kaitsevad avatud projektikoodi või infrastruktuuri tõsiste haavatavuste eest.
- 5000–10000 XNUMX dollarit - keskmise raskusastmega uuenduste jaoks, millel on positiivne mõju ohutusele.
- 1000–5000 dollarit mõõduka raskusega versiooniuuenduste eest turvalisuse suurendamiseks.
- 505 dollarit - väikeste turvaparanduste eest.
Täna on meil hea meel teatada, et sponsoreerime Linuxi sihtasutuse juhitud turvalise avatud lähtekoodiga (SOS) pilootprogrammi. See programm premeerib rahaliselt arendajaid kriitiliste avatud lähtekoodiga projektide turvalisuse parandamise eest, millest me kõik sõltume. Alustame miljoni dollari suurusest investeeringust ja plaanime kogukonna tagasiside põhjal laiendada programmi ulatust.
Teisest küljest OSTIF (Avatud lähtekoodiga tehnoloogia täiustamise fond), mis on loodud avatud lähtekoodiga projektide turvalisuse tugevdamiseks, teatas partnerlusest Google'iga, kes väljendas valmisolekut rahastada 8 projekti sõltumatut turvaauditit avatud lähtekoodiga.
Google'ilt saadud vahenditega otsustati auditeerida Git, Lodashi JavaScripti teek, PHP Laraveli raamistik, Slf4j Java raamistik, Jacksoni JSONi teegid (Jackson-core ja Jackson-andmebaas) ja Apache Http komponendid (Httpcomponents- tuum ja Httpkomponendid).
Google'i tugi võimaldab OSTIFil käivitada hallatud auditiprogrammi (MAP), mis laiendab meie põhjalikke turvaülevaateid ka rohkematele avatud lähtekoodiga ökosüsteemi jaoks olulistele projektidele.
Varem, kasutades annetuste kogumise tulemusena saadud vahendeid, fond OSTIF on juba auditeerinud projekte OpenSSL, VeraCrypt, OpenVPN, Monero, Unbound DNS ja QRL.
Eraldi on kogukond juba koostanud tööriistad PHP Symfony raamistiku auditeerimiseks. Auditi lisarahastamise korral on plaanis ka Systemd, Electron, Rails, Drupal, Joomla, WebPack, Reprepro, Ceph, React Native, Salt, Ansible, Angular, Gatsby ja Guava projektid.
See tähistab suurt edu suurte ettevõtete rahastajate meelitamisel OSTIF -i mudelile avatud lähtekoodiga tarkvara täiustamiseks turbeülevaadete ja lähtekoodi auditite kaudu.
Valik tehti empiiriliselt, tuginedes ohutusmõju hindamisele projekti avatud lähtekoodiga ökosüsteemis ja potentsiaalset kasu kogukonnale, suurendades vaadeldavate projektide turvalisust. GitHubi umbes 100 XNUMX projekti jaoks arvutati koefitsient võttes arvesse selliseid tegureid nagu kasutamise populaarsus sõltuvusena, infrastruktuuri nõudlus, arendajate arv, arendustegevus, suletud ja suletud veateadete arv, projekti toetavate organisatsioonide arv, värskenduste sagedus, haavatavuste tuvastamise ajalugu jne.
Allikad: https://ostif.org/, https://security.googleblog.com/