Hace ya varios dias Google dio a conocer la iniciativa Secure Open Source (SOS), que proporcionará bonificaciones por el trabajo relacionado con el fortalecimiento del software crítico de código abierto y al cual se han destinado un millón de dólares para los primeros pagos, pero si la iniciativa se reconoce como exitosa, la inversión en el proyecto continuará.
Las solicitudes de remuneración se aceptan solo para los cambios aceptados en proyectos con un nivel de criticidad de al menos 0.6 según la calificación OpenSSF Critically Score o incluidos en la lista de proyectos que requieren controles de seguridad especiales.
La naturaleza de los cambios propuestos debe estar relacionada con la mejora de la seguridad en áreas tales como fortalecer la protección de los elementos de la infraestructura (por ejemplo, procesos de integración y distribución continuos), implementar sistemas de verificación para firmas digitales de componentes de productos de software, aumentar el nivel del producto (revisión, protección de sucursales, Fuzzing testing, protección contra ataques de dependencia).
Durante el año pasado, hicimos una serie de inversiones para fortalecer la seguridad de proyectos críticos de código abierto, y recientemente anunciamos nuestro compromiso de $ 10 mil millones para la defensa de la ciberseguridad, incluidos $ 100 millones para respaldar fundaciones de terceros que administran las prioridades de seguridad de código abierto y ayudan a solucionar vulnerabilidades.
En cuanto a los montos de las bonificaciones, estas se expedirán de la siguiente manera:
- $ 10,000 o más: por introducir mejoras complejas, significativas y relevantes a largo plazo que brinden protección contra vulnerabilidades graves en el código o la infraestructura de proyectos abiertos.
- $ 5000- $ 10000 – para mejoras de dificultad media que tengan un efecto positivo en la seguridad.
- $ 1000- $ 5000 por mejoras de dificultad moderada para aumentar la seguridad.
- $ 505 – para pequeñas mejoras de seguridad.
Hoy, nos complace anunciar nuestro patrocinio para el programa piloto Secure Open Source (SOS) dirigido por la Fundación Linux. Este programa recompensa financieramente a los desarrolladores por mejorar la seguridad de proyectos críticos de código abierto de los que todos dependemos. Estamos comenzando con una inversión de $ 1 millón y planeamos expandir el alcance del programa en base a los comentarios de la comunidad.
Por otra parte el OSTIF (Fondo de mejora de la tecnología de código abierto), creado para fortalecer la seguridad de los proyectos de código abierto, anunció una asociación con Google, que expresó su disposición a financiar una auditoría de seguridad independiente de 8 proyectos de código abierto.
Con los fondos recibidos de Google, se decidió auditar Git, la librería Lodash JavaScript, el framework PHP Laravel, el framework Slf4j Java, las librerías Jackson JSON (Jackson-core y Jackson-databind) y los componentes Apache Http (Httpcomponents-core y Httpcomponents).
El soporte de Google permitirá a OSTIF lanzar el Programa de Auditoría Administrada (MAP), que ampliará nuestras revisiones de seguridad en profundidad a más proyectos vitales para el ecosistema de código abierto.
Anteriormente, utilizando los fondos recibidos como resultado de la recolección de donaciones, el fondo OSTIF ya auditó los proyectos de OpenSSL, VeraCrypt, OpenVPN, Monero, Unbound DNS y QRL.
Por separado, la comunidad ya ha recopilado herramientas para auditar el marco PHP Symfony. En caso de financiamiento adicional para la auditoría , también se planean proyectos Systemd, Electron, Rails, Drupal, Joomla, WebPack, Reprepro, Ceph, React Native, Salt, Ansible, Angular, Gatsby y Guava.
Esto marca un gran éxito al atraer grandes donantes corporativos para apoyar el modelo de OSTIF de mejorar el software de código abierto a través de revisiones de seguridad y auditorías de código fuente.
La elección se tomó empíricamente con base en una evaluación del impacto de la seguridad del proyecto en el ecosistema de código abierto y el beneficio potencial para la comunidad al aumentar la seguridad de los proyectos en consideración. Para alrededor de 100 mil proyectos en GitHub, se calculó un coeficiente teniendo en cuenta factores como la popularidad del uso como dependencia, la demanda de infraestructuras, el número de desarrolladores, la actividad de desarrollo, el número de mensajes de error cerrados y no cerrados, el número de las organizaciones que apoyan el proyecto, la frecuencia de las actualizaciones, el historial de identificación de vulnerabilidades, etc.
Fuentes: https://ostif.org/, https://security.googleblog.com/