Néhány nappal ezelőtts A Google bemutatta a biztonságos nyílt forráskódú kezdeményezést (SOS), mi bónuszokat biztosítanak a kritikus nyílt forráskódú szoftverek megerősítésével kapcsolatos munkákért és amelyre egymillió dollárt különítettek el az első kifizetésekre, de ha a kezdeményezést sikeresnek ismerik el, a beruházás folytatódik.
A javadalmazási kérelmeket csak az elfogadott változtatások esetén fogadjuk el projektekben legalább 0.6 kritikussági szinttel az OpenSSF Critically Score szerint vagy szerepel a különleges biztonsági ellenőrzéseket igénylő projektek listájában.
A javasolt változtatások jellegének a biztonság javításához kell kapcsolódnia olyan területeken, mint az infrastruktúra elemeinek védelmének megerősítése (például folyamatos integrációs és terjesztési folyamatok), ellenőrző rendszerek bevezetése a szoftvertermékek összetevőinek digitális aláírásához, a termék növelése szint (felülvizsgálat, ágvédelem, fuzzing tesztelés, védelem függőségi támadások ellen).
Az elmúlt évben számos beruházást hajtottunk végre a kritikus nyílt forráskódú projektek biztonságának megerősítése érdekében, és nemrégiben bejelentettük, hogy 10 milliárd dolláros kötelezettségvállalásunk a kiberbiztonság védelme érdekében, beleértve a 100 millió dollárt a nyílt forráskódú biztonságot kezelő harmadik felek alapítványainak támogatására. prioritásokat, és segít a sérülékenységek kijavításában.
Ami a bónuszok összegét illeti, ezeket a következőképpen adják ki:
- 10,000 XNUMX USD vagy több - Hosszú távú, jelentős, releváns és összetett fejlesztésekért, amelyek megvédik a nyílt projektkód vagy infrastruktúra súlyos sérülékenységeit.
- 5000–10000 XNUMX USD - közepes nehézségű fejlesztésekhez, amelyek pozitív hatással vannak a biztonságra.
- 1000–5000 USD közepes nehézségű fejlesztésekre a biztonság növelése érdekében.
- 505 USD - kisebb biztonsági fejlesztésekért.
Ma örömmel jelentjük be, hogy támogatjuk a Linux Alapítvány által vezetett biztonságos nyílt forráskódú (SOS) kísérleti programot. Ez a program anyagilag jutalmazza a fejlesztőket a kritikus nyílt forráskódú projektek biztonságának javításáért, amelyekre mindannyian számítunk. 1 millió dolláros befektetéssel kezdünk, és a közösség visszajelzései alapján tervezzük a program hatókörének bővítését.
Másrészt az OSTIF (Open Source Technology Enhancement Fund), amelyet a nyílt forráskódú projektek biztonságának megerősítésére hoztak létre, bejelentette partnerségét a Google -lal, amely kifejezte készségét 8 projekt független biztonsági ellenőrzésének finanszírozására nyílt forráskód.
A Google-tól kapott pénzeszközök mellett döntöttek a Git, a Lodash JavaScript könyvtár, a PHP Laravel keretrendszer, az Slf4j Java keretrendszer, a Jackson JSON könyvtárak (Jackson-core és Jackson-adatbázisindex) és az Apache Http összetevők (Httpcomponents- mag és Httpkomponensek).
A Google támogatása lehetővé teszi, hogy az OSTIF elindítsa a felügyelt ellenőrzési programot (MAP), amely kiterjeszti részletes biztonsági felülvizsgálatainkat a nyílt forráskódú ökoszisztéma szempontjából létfontosságú projektekre.
Korábban az adománygyűjtés eredményeként kapott pénzeszközök felhasználásával az alap Az OSTIF már auditálta az OpenSSL, VeraCrypt, OpenVPN, Monero, Unbound projekteket DNS és QRL.
Külön a közösség már összeállított eszközöket a PHP Symfony keretrendszer ellenőrzéséhez. Az ellenőrzés további finanszírozása esetén a Systemd, Electron, Rails, Drupal, Joomla, WebPack, Reprepro, Ceph, React Native, Salt, Ansible, Angular, Gatsby és Guava projekteket is tervezik.
Ez nagy sikert aratott abban, hogy nagy vállalati adományozókat vonzottak, hogy támogassák az OSTIF nyílt forráskódú szoftverek fejlesztési modelljét biztonsági felülvizsgálatok és forráskód -ellenőrzések révén.
A választás empirikusan történt a biztonsági hatásvizsgálat alapján a projektet a nyílt forráskódú ökoszisztémában és a lehetséges előnyöket a közösség számára a vizsgált projektek biztonságának növelésével. Körülbelül 100 XNUMX GitHub -projekt esetében kiszámították az együtthatót figyelembe véve olyan tényezőket, mint a használat népszerűsége függőségként, infrastruktúra iránti kereslet, fejlesztők száma, fejlesztési tevékenység, zárt és nem zárt hibaüzenetek száma, a projektet támogató szervezetek száma, frissítések gyakorisága, sebezhetőségi azonosítás története stb.
forrás: https://ostif.org/, https://security.googleblog.com/