数日前■GoogleがSecureOpenSourceイニシアチブを発表 (SOS)、何 重要なオープンソースソフトウェアの強化に関連する作業にボーナスを提供する 最初の支払いにはXNUMX万ドルが割り当てられていますが、イニシアチブが成功したと認められれば、プロジェクトへの投資は継続されます。
補償の要求は、受け入れられた変更に対してのみ受け入れられます プロジェクトで OpenSSFクリティカルスコアによると、クリティカルレベルが少なくとも0.6である または、特別なセキュリティ管理が必要なプロジェクトのリストに含まれています。
提案された変更の性質は、インフラストラクチャ要素の保護の強化(継続的インテグレーションや配布プロセスなど)、ソフトウェア製品のコンポーネントのデジタル署名の検証システムの実装、製品の増加などの分野でのセキュリティの向上に関連している必要があります。レベル(レビュー、ブランチ保護、ファジングテスト、依存関係攻撃に対する保護)。
過去10年間、重要なオープンソースプロジェクトのセキュリティを強化するために多くの投資を行いました。最近、オープンソースセキュリティを管理するサードパーティの基盤をサポートするための100億ドルを含む、サイバーセキュリティ防御へのXNUMX億ドルの取り組みを発表しました。優先順位と脆弱性の修正に役立ちます。
ボーナスの金額について、これらは次のように発行されます。
- 10,000ドル以上-オープンプロジェクトコードまたはインフラストラクチャの深刻な脆弱性から保護する、長期的、重要、重要、および複雑な拡張機能を導入するため。
- 5000ドルから10000ドル-安全性にプラスの効果をもたらす中程度の難易度のアップグレード用。
- 安全性を高めるための中程度の難易度のアップグレードには1000ドルから5000ドル。
- 505ドル-小さなセキュリティの改善のため。
本日、LinuxFoundationが主導するSecureOpen Source(SOS)パイロットプログラムへのスポンサーシップを発表できることを嬉しく思います。 このプログラムは、私たち全員が依存している重要なオープンソースプロジェクトのセキュリティを向上させたことに対して開発者に金銭的な報酬を与えます。 私たちは1万ドルの投資から始めており、コミュニティのフィードバックに基づいてプログラムの範囲を拡大する予定です。
さらに OSTIF (オープンソース技術強化基金)、オープンソースプロジェクトのセキュリティを強化するために作成され、 Googleとのパートナーシップを発表し、8つのプロジェクトの独立したセキュリティ監査に資金を提供する意思を表明しました オープンソース。
Googleから受け取った資金により、Git、Lodash JavaScriptライブラリ、PHP Laravelフレームワーク、Slf4j Javaフレームワーク、Jackson JSONライブラリ(Jackson-coreおよびJackson-databind)、およびApache Httpコンポーネント(Httpcomponents-コアおよびHttpcomponents)。
Googleのサポートにより、OSTIFはManaged Audit Program(MAP)を開始できます。これにより、詳細なセキュリティレビューが、オープンソースエコシステムに不可欠なより多くのプロジェクトに拡張されます。
以前は、寄付の収集の結果として受け取った資金を使用して、資金 OSTIFはすでにOpenSSL、VeraCrypt、OpenVPN、Monero、Unboundプロジェクトを監査しています DNSとQRL。
これとは別に、コミュニティはPHPSymfonyフレームワークを監査するためのツールをすでにコンパイルしています。 監査のための追加資金の場合、Systemd、Electron、Rails、Drupal、Joomla、WebPack、Reprepro、Ceph、React Native、Salt、Ansible、Angular、Gatsby、Guavaプロジェクトも計画されています。
これは、セキュリティレビューとソースコード監査を通じてオープンソースソフトウェアを改善するOSTIFのモデルをサポートするために大企業のドナーを引き付けることに大きな成功を収めています。
選択は、安全性影響評価に基づいて経験的に行われました。 オープンソースエコシステムにおけるプロジェクトの評価と、検討中のプロジェクトのセキュリティを強化することによるコミュニティへの潜在的な利益。 GitHubの約100のプロジェクトについて、係数が計算されました 依存関係としての使用の人気などの要因を考慮に入れて、 インフラストラクチャの需要、開発者の数、開発活動、クローズされたエラーメッセージとクローズされていないエラーメッセージの数、プロジェクトをサポートする組織の数、更新の頻度、脆弱性の特定の履歴など。
フエンテス: https://ostif.org/, https://security.googleblog.com/