Prije nekoliko danas Google je predstavio inicijativu Secure Open Source (SOS), što osigurati bonuse za rad u vezi s jačanjem kritičnog softvera otvorenog koda i kojima je dodijeljeno milijun dolara za prve uplate, no ako se inicijativa prepozna kao uspješna, ulaganje u projekt će se nastaviti.
Zahtjevi za kompenzaciju prihvaćaju se samo za prihvaćene promjene u projektima s razinom kritičnosti od najmanje 0.6 prema OpenSSF Critically Score ili uključeni u popis projekata koji zahtijevaju posebne sigurnosne kontrole.
Priroda predloženih promjena trebala bi biti povezana s poboljšanjem sigurnosti u područjima kao što su jačanje zaštite infrastrukturnih elemenata (na primjer, kontinuirana integracija i distribucijski procesi), implementacija sustava provjere digitalnih potpisa komponenti softverskih proizvoda, povećanje proizvoda razini (pregled, zaštita grana, Fuzzing testiranje, zaštita od napada ovisnosti).
Tijekom prošle godine uložili smo niz ulaganja u jačanje sigurnosti kritičnih projekata otvorenog koda, a nedavno smo objavili i svoju predanost od 10 milijardi dolara za obranu kibernetičke sigurnosti, uključujući 100 milijuna dolara za podršku zakladama trećih strana koje upravljaju sigurnošću otvorenog koda. prioritete i pomoći u ispravljanju ranjivosti.
Što se tiče iznosa bonusa, oni će biti izdani na sljedeći način:
- 10,000 USD ili više - Za stvaranje dugoročnih, značajnih, relevantnih i složenih poboljšanja koja štite od ozbiljnih ranjivosti u otvorenom kodu projekta ili infrastrukturi.
- 5000 - 10000 USD - za nadogradnje srednje težine koje imaju pozitivan učinak na sigurnost.
- 1000 do 5000 USD za nadogradnje umjerene poteškoće radi povećanja sigurnosti.
- 505 USD - za mala sigurnosna poboljšanja.
Danas sa zadovoljstvom objavljujemo naše sponzorstvo pilot programa Secure Open Source (SOS) koji vodi Linux Foundation. Ovaj program financijski nagrađuje programere za poboljšanje sigurnosti kritičnih projekata otvorenog koda o kojima svi ovisimo. Počinjemo s ulaganjem od milijun dolara i planiramo proširiti doseg programa na temelju povratnih informacija zajednice.
S druge strane OSTIF (Fond za poboljšanje tehnologije otvorenog koda), osnovan radi jačanja sigurnosti projekata otvorenog koda, najavio partnerstvo s Googleom, koji je izrazio spremnost za financiranje neovisne sigurnosne revizije 8 projekata otvoreni izvor.
Uz sredstva dobivena od Googlea odlučeno je da se izvrši revizija Gita, biblioteke Lodash JavaScript, PHP Laravel okvira, Slf4j Java okvira, Jackson JSON knjižnica (Jackson-core i Jackson-databind) i Apache Http komponenti (Httpcomponents- jezgre i Httpkomponente).
Googleova podrška omogućit će OSTIF-u pokretanje Programa upravljane revizije (MAP), koji će proširiti naše dubinske sigurnosne preglede na više projekata od vitalnog značaja za ekosustav otvorenog koda.
Prije je, koristeći sredstva primljena kao rezultat prikupljanja donacija, fond OSTIF je već revidirao projekte OpenSSL, VeraCrypt, OpenVPN, Monero, Unbound DNS i QRL.
Odvojeno, zajednica je već sastavila alate za reviziju PHP Symfony okvira. U slučaju dodatnih sredstava za reviziju, planirani su i projekti Systemd, Electron, Rails, Drupal, Joomla, WebPack, Reprepro, Ceph, React Native, Salt, Ansible, Angular, Gatsby i Guava.
Ovo označava veliki uspjeh u privlačenju velikih korporativnih donatora da podrže OSTIF -ov model poboljšanja softvera otvorenog koda kroz sigurnosne preglede i revizije izvornog koda.
Odabir je napravljen empirijski na temelju procjene utjecaja na sigurnost projekta u ekosustavu otvorenog koda i potencijalnu korist za zajednicu povećanjem sigurnosti projekata koji se razmatraju. Za oko 100 projekata na GitHubu izračunat je koeficijent uzimajući u obzir čimbenike poput popularnosti upotrebe kao ovisnosti, potražnja za infrastrukturom, broj programera, razvojna aktivnost, broj zatvorenih i zatvorenih poruka o pogreškama, broj organizacija koje podržavaju projekt, učestalost ažuriranja, povijest identifikacije ranjivosti itd.
Fuentes: https://ostif.org/, https://security.googleblog.com/