Google a fait un don de 1 million de dollars pour améliorer la sécurité open source et financera également l'audit de sécurité sur huit grands projets

Il y a plusieurs jourss Google a dévoilé l'initiative Secure Open Source (SOS), quoi fournir des primes pour le travail lié au renforcement des logiciels open source critiques et auquel un million de dollars a été alloué pour les premiers versements, mais si l'initiative est reconnue comme réussie, l'investissement dans le projet se poursuivra.

Les demandes de rémunération ne sont acceptées que pour les changements acceptés dans les projets avec un niveau de criticité d'au moins 0.6 selon l'OpenSSF Critically Score ou inclus dans la liste des projets nécessitant des contrôles de sécurité particuliers.

La nature des changements proposés devrait être liée à l'amélioration de la sécurité dans des domaines tels que le renforcement de la protection des éléments d'infrastructure (par exemple, les processus d'intégration et de distribution continus), la mise en œuvre de systèmes de vérification des signatures numériques des composants des produits logiciels, l'augmentation du niveau (revue, protection de branche, Fuzzing testing, protection contre les attaques de dépendances).

Au cours de l'année écoulée, nous avons réalisé un certain nombre d'investissements pour renforcer la sécurité des projets open source critiques, et nous avons récemment annoncé notre engagement de 10 milliards de dollars en faveur de la défense contre la cybersécurité, dont 100 millions de dollars pour soutenir des fondations tierces qui gèrent la sécurité open source. priorités et aider à corriger les vulnérabilités.

Concernant les montants des bonus, ceux-ci seront émis comme suit :

  • 10,000 XNUMX $ ou plus - Pour apporter des améliorations à long terme, importantes, pertinentes et complexes qui protègent contre les vulnérabilités graves dans le code ou l'infrastructure de projet ouvert.
  • 5000 10000 $ à XNUMX XNUMX $ - pour les améliorations de difficulté moyenne qui ont un effet positif sur la sécurité.
  • 1000 $ - 5000 $ pour les mises à niveau de difficulté modérée pour augmenter la sécurité.
  • 505 $ - pour de petites améliorations de sécurité.

Aujourd'hui, nous sommes heureux d'annoncer notre parrainage du programme pilote Secure Open Source (SOS) dirigé par la Linux Foundation. Ce programme récompense financièrement les développeurs pour l'amélioration de la sécurité des projets open source critiques dont nous dépendons tous. Nous commençons avec un investissement de 1 million de dollars et prévoyons d'étendre la portée du programme en fonction des commentaires de la communauté.

Par ailleurs l'OSTIF (Open Source Technology Enhancement Fund), créé pour renforcer la sécurité des projets open source, a annoncé un partenariat avec Google, qui a exprimé sa volonté de financer un audit de sécurité indépendant de 8 projets Open source.

Avec les fonds reçus de Google, il a été décidé d'auditer Git, la bibliothèque JavaScript Lodash, le framework PHP Laravel, le framework Java Slf4j, les bibliothèques Jackson JSON (Jackson-core et Jackson-databind) et les composants Apache Http (Httpcomponents- noyau et composants HTTP).

Le soutien de Google permettra à l'OSTIF de lancer le Managed Audit Program (MAP), qui étendra nos revues de sécurité approfondies à davantage de projets vitaux pour l'écosystème open source. 

Auparavant, en utilisant les fonds reçus à la suite de la collecte de dons, le fonds L'OSTIF a déjà audité les projets OpenSSL, VeraCrypt, OpenVPN, Monero, Unbound DNS et QRL.

Par ailleurs, la communauté a déjà compilé des outils pour auditer le framework PHP Symfony. En cas de financement supplémentaire pour l'audit, des projets Systemd, Electron, Rails, Drupal, Joomla, WebPack, Reprepro, Ceph, React Native, Salt, Ansible, Angular, Gatsby et Guava sont également prévus.

Cela marque un grand succès en attirant de grandes entreprises donatrices pour soutenir le modèle de l'OSTIF d'amélioration des logiciels open source à travers des revues de sécurité et des audits de code source.

Le choix a été fait empiriquement sur la base d'une étude d'impact sur la sécurité du projet dans l'écosystème open source et le bénéfice potentiel pour la communauté en augmentant la sécurité des projets à l'étude. Pour environ 100 XNUMX projets sur GitHub, un coefficient a été calculé en tenant compte de facteurs tels que la popularité de l'utilisation comme dépendance, demande d'infrastructure, nombre de développeurs, activité de développement, nombre de messages d'erreur fermés et non fermés, nombre d'organisations soutenant le projet, fréquence des mises à jour, historique d'identification des vulnérabilités, etc. .

Fuentes: https://ostif.org/, https://security.googleblog.com/


Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.