Useita päiviä sittens Google julkisti Secure Open Source -aloitteen (SOS), mitä tarjota bonuksia kriittisen avoimen lähdekoodin ohjelmistojen vahvistamiseen liittyvästä työstä ja jolle on myönnetty miljoona dollaria ensimmäisille maksuille, mutta jos aloite todetaan onnistuneeksi, investointi hankkeeseen jatkuu.
Palkitsemispyynnöt hyväksytään vain hyväksytyistä muutoksista hankkeissa joiden kriittisyys on vähintään 0.6 OpenSSF Critically Score -arvon mukaan tai sisällytetty hankkeiden luetteloon, jotka vaativat erityisiä turvatarkastuksia.
Ehdotettujen muutosten luonteen pitäisi liittyä turvallisuuden parantamiseen esimerkiksi infrastruktuurielementtien suojan vahvistamisen (esimerkiksi jatkuvan integroinnin ja jakeluprosessin), ohjelmistotuotteiden komponenttien digitaalisten allekirjoitusten vahvistusjärjestelmien käyttöönoton, tuotteen taso (tarkastelu, haaran suojaus, sumea testaus, suojaus riippuvuushyökkäyksiä vastaan).
Teimme kuluneen vuoden aikana useita investointeja kriittisten avoimen lähdekoodin hankkeiden turvallisuuden vahvistamiseksi, ja julkistimme äskettäin 10 miljardin dollarin sitoumuksemme kyberturvallisuuden puolustamiseen, mukaan lukien 100 miljoonaa dollaria avustamaan avoimen lähdekoodin suojausta hallinnoivia kolmansien osapuolien säätiöitä prioriteetteja ja auttaa korjaamaan haavoittuvuuksia.
Mitä tulee bonusten määrään, nämä julkaistaan seuraavasti:
- 10,000 XNUMX dollaria tai enemmän - pitkäaikaisten, merkittävien, merkittävien ja monimutkaisten parannusten käyttöönotosta, jotka suojaavat vakavilta haavoittuvuuksilta avoimessa projektikoodissa tai infrastruktuurissa.
- 5000 10000–XNUMX XNUMX dollaria - keskivaikeiden päivitysten osalta, joilla on myönteinen vaikutus turvallisuuteen.
- 1000 5000–XNUMX XNUMX dollaria kohtuullisen vaikeuksiin tehtävistä päivityksistä turvallisuuden lisäämiseksi.
- 505 dollaria - pieniin tietoturvaparannuksiin.
Tänään meillä on ilo ilmoittaa, että sponsoroimme Linux -säätiön johtamaa suojattua avoimen lähdekoodin (SOS) pilottiohjelmaa. Tämä ohjelma palkitsee taloudellisesti kehittäjiä kriittisten avoimen lähdekoodin projektien turvallisuuden parantamisesta, joista me kaikki olemme riippuvaisia. Aloitamme miljoonan dollarin investoinnilla ja aiomme laajentaa ohjelman ulottuvuutta yhteisön palautteen perusteella.
lisäksi OSTIF (Open Source Technology Enhancement Fund), joka on luotu vahvistamaan avoimen lähdekoodin hankkeiden turvallisuutta, ilmoitti kumppanuudesta Googlen kanssa, joka ilmoitti olevansa valmis rahoittamaan 8 projektin riippumattoman turvatarkastuksen avoin lähdekoodi.
Googlelta saaduilla varoilla päätettiin tarkastaa Git, Lodash JavaScript -kirjasto, PHP Laravel -kehys, Slf4j Java -kehys, Jackson JSON -kirjastot (Jackson-ydin ja Jackson-tietokanta) ja Apache Http -komponentit (Httpcomponents- ydin ja Httpkomponentit).
Googlen tuen ansiosta OSTIF voi käynnistää hallitun tarkastusohjelman (MAP), joka laajentaa perusteelliset tietoturva-arviointimme koskemaan muita avoimen lähdekoodin ekosysteemille tärkeitä projekteja.
Aikaisemmin rahasto käytti lahjoitusten keräämisen tuloksena saatuja varoja OSTIF on jo tarkastanut OpenSSL-, VeraCrypt-, OpenVPN-, Monero- ja Unbound -projektit DNS ja QRL.
Yhteisö on jo erikseen koonnut työkalut PHP Symfony -kehyksen auditointiin. Jos tarkastus saa lisärahoitusta, suunnitellaan myös Systemd-, Electron-, Rails-, Drupal-, Joomla-, WebPack-, Reprepro-, Ceph-, React Native-, Salt-, Ansible-, Angular-, Gatsby- ja Guava -hankkeita.
Tämä merkitsee suurta menestystä houkuteltaessa suuryritysten lahjoittajia tukemaan OSTIFin mallia parantaa avoimen lähdekoodin ohjelmistoja tietoturvatarkastuksilla ja lähdekooditarkastuksilla.
Valinta tehtiin empiirisesti turvallisuusvaikutusten arvioinnin perusteella hankkeesta avoimen lähdekoodin ekosysteemissä ja mahdollisesta hyödystä yhteisölle lisäämällä tarkasteltavien hankkeiden turvallisuutta. Noin 100 XNUMX projektille GitHubissa laskettiin kerroin ottamalla huomioon tekijät, kuten käytön suosio riippuvuutena, infrastruktuurin kysyntä, kehittäjien määrä, kehittämistoiminta, suljettujen ja ei-suljettujen virheilmoitusten määrä, hanketta tukevien organisaatioiden määrä, päivitysten tiheys, haavoittuvuuden tunnistushistoria jne..
Lähteet: https://ostif.org/, https://security.googleblog.com/