Diversi giorni fas Google ha presentato l'iniziativa Secure Open Source (SOS), cosa? fornire bonus per il lavoro relativo al rafforzamento del software open source critico e a cui è stato stanziato un milione di dollari per i primi pagamenti, ma se l'iniziativa verrà riconosciuta come vincente, gli investimenti nel progetto continueranno.
Le richieste di remunerazione sono accettate solo per le modifiche accettate nei progetti con un livello di criticità di almeno 0.6 secondo OpenSSF Critical Score o inclusi nell'elenco dei progetti che richiedono controlli di sicurezza speciali.
La natura delle modifiche proposte dovrebbe essere correlata al miglioramento della sicurezza in aree quali il rafforzamento della protezione degli elementi infrastrutturali (ad esempio, l'integrazione continua e i processi di distribuzione), l'implementazione di sistemi di verifica per le firme digitali dei componenti dei prodotti software, l'aumento del prodotto livello (revisione, protezione del ramo, test di fuzzing, protezione contro gli attacchi di dipendenza).
Nell'ultimo anno, abbiamo effettuato una serie di investimenti per rafforzare la sicurezza dei progetti open source critici e abbiamo recentemente annunciato il nostro impegno di $ 10 miliardi per la difesa della sicurezza informatica, inclusi $ 100 milioni per supportare fondazioni di terze parti che gestiscono la sicurezza open source priorità e aiutano a correggere le vulnerabilità.
Per quanto riguarda gli importi dei bonus, questi saranno emessi come segue:
- $ 10,000 o più - Per l'introduzione di miglioramenti a lungo termine, significativi, significativi e complessi che proteggono da gravi vulnerabilità nel codice o nell'infrastruttura del progetto aperto.
- $ 5000 - $ 10000 - per aggiornamenti di media difficoltà che hanno un effetto positivo sulla sicurezza.
- $ 1000- $ 5000 per gli aggiornamenti di difficoltà moderata per aumentare la sicurezza.
- $ 505 - per piccoli miglioramenti della sicurezza.
Oggi siamo lieti di annunciare la nostra sponsorizzazione del programma pilota Secure Open Source (SOS) guidato dalla Linux Foundation. Questo programma premia finanziariamente gli sviluppatori per aver migliorato la sicurezza dei progetti open source critici da cui tutti dipendiamo. Stiamo iniziando con un investimento di $ 1 milione e abbiamo in programma di espandere la portata del programma in base al feedback della comunità.
Inoltre l'OSTIF (Open Source Technology Enhancement Fund), nato per rafforzare la sicurezza dei progetti open source, ha annunciato una partnership con Google, che ha espresso la propria disponibilità a finanziare un audit di sicurezza indipendente di 8 progetti open source.
Con i fondi ricevuti da Google, si è deciso di controllare Git, la libreria JavaScript Lodash, il framework PHP Laravel, il framework Java Slf4j, le librerie Jackson JSON (Jackson-core e Jackson-databind) e i componenti Apache Http (Httpcomponents- core e Httpcomponents).
Il supporto di Google consentirà a OSTIF di lanciare il Managed Audit Program (MAP), che estenderà le nostre analisi approfondite della sicurezza a più progetti vitali per l'ecosistema open source.
In precedenza, utilizzando i fondi ricevuti a seguito della raccolta di donazioni, il fondo OSTIF ha già verificato i progetti OpenSSL, VeraCrypt, OpenVPN, Monero, Unbound DNS e QRL.
Separatamente, la comunità ha già compilato strumenti per l'auditing del framework PHP Symfony. In caso di finanziamenti aggiuntivi per l'audit, sono previsti anche progetti Systemd, Electron, Rails, Drupal, Joomla, WebPack, Reprepro, Ceph, React Native, Salt, Ansible, Angular, Gatsby e Guava.
Questo segna un grande successo nell'attirare grandi donatori aziendali per supportare il modello di OSTIF di miglioramento del software open source attraverso revisioni di sicurezza e audit del codice sorgente.
La scelta è stata fatta empiricamente sulla base di una valutazione di impatto sulla sicurezza del progetto nell'ecosistema open source e il potenziale beneficio per la comunità aumentando la sicurezza dei progetti in esame. Per circa 100 progetti su GitHub è stato calcolato un coefficiente tenendo conto di fattori quali la popolarità dell'uso come dipendenza, domanda di infrastruttura, numero di sviluppatori, attività di sviluppo, numero di messaggi di errore chiusi e non chiusi, numero di organizzazioni che supportano il progetto, frequenza degli aggiornamenti, cronologia di identificazione delle vulnerabilità, ecc.
Fuentes: https://ostif.org/, https://security.googleblog.com/