며칠 전s Google은 Secure Open Source 이니셔티브를 발표했습니다. (SOS), 뭐 중요한 오픈 소스 소프트웨어 강화와 관련된 작업에 대한 보너스 제공 첫 번째 지불을 위해 백만 달러가 할당되었지만 이니셔티브가 성공적으로 인정되면 프로젝트에 대한 투자가 계속됩니다.
보상 요청은 수락된 변경 사항에 대해서만 수락됩니다. 프로젝트에서 OpenSSF Critical Score에 따라 최소 0.6의 중요도 수준 또는 특별한 보안 제어가 필요한 프로젝트 목록에 포함됩니다.
제안된 변경 사항의 특성은 인프라 요소의 보호 강화(예: 지속적인 통합 및 배포 프로세스), 소프트웨어 제품 구성 요소의 전자 서명에 대한 검증 시스템 구현, 제품 증가와 같은 영역의 보안 개선과 관련되어야 합니다. 수준(검토, 분기 보호, 퍼징 테스트, 종속성 공격에 대한 보호).
지난 10년 동안 우리는 중요한 오픈 소스 프로젝트의 보안을 강화하기 위해 많은 투자를 했으며, 최근에는 오픈 소스 보안을 관리하는 타사 재단을 지원하기 위한 100억 달러를 포함하여 사이버 보안 방어에 XNUMX억 달러 약속을 발표했습니다. 우선 순위를 지정하고 취약점을 수정하는 데 도움이 됩니다.
보너스 금액에 대해, 다음과 같이 발행됩니다.
- $ 10,000 이상 - 공개 프로젝트 코드 또는 인프라의 심각한 취약성으로부터 보호하는 장기적이고 중요하며 관련성 있고 복잡한 개선을 위한 것입니다.
- $ 5000- $ 10000 - 안전에 긍정적인 영향을 미치는 중간 난이도의 업그레이드.
- $ 1000- $ 5000는 안전성을 높이기 위해 중간 난이도로 업그레이드합니다.
- $ 505 - 작은 보안 개선을 위해.
오늘 Linux Foundation이 주도하는 SOS(Secure Open Source) 파일럿 프로그램의 후원을 발표하게 된 것을 기쁘게 생각합니다. 이 프로그램은 우리 모두가 의존하는 중요한 오픈 소스 프로젝트의 보안을 개선한 개발자에게 재정적으로 보상합니다. 우리는 1만 달러 투자로 시작했으며 커뮤니티 피드백을 기반으로 프로그램의 범위를 확장할 계획입니다.
그 위에 OSTIF (Open Source Technology Enhancement Fund)는 오픈소스 프로젝트의 보안을 강화하기 위해 조성되었으며, 8개 프로젝트에 대한 독립적인 보안 감사에 자금을 지원할 의향을 표명한 Google과의 파트너십을 발표했습니다. 오픈 소스.
Google에서 받은 자금으로 Git, Lodash JavaScript 라이브러리, PHP Laravel 프레임워크, Slf4j Java 프레임워크, Jackson JSON 라이브러리(Jackson-core 및 Jackson-databind) 및 Apache Http 구성 요소(Httpcomponents- 코어 및 Httpcomponents).
Google의 지원을 통해 OSTIF는 MAP(Managed Audit Program)을 시작할 수 있으며, 이는 심층 보안 검토를 오픈 소스 생태계에 필수적인 더 많은 프로젝트로 확장할 것입니다.
기존에는 기부금을 모아서 받은 기금을 이용하여 OSTIF는 이미 OpenSSL, VeraCrypt, OpenVPN, Monero, Unbound 프로젝트를 감사했습니다. DNS 및 QRL.
이와 별도로 커뮤니티는 이미 PHP Symfony 프레임워크를 감사하기 위한 도구를 컴파일했습니다. 감사를 위한 추가 자금의 경우 Systemd, Electron, Rails, Drupal, Joomla, WebPack, Reprepro, Ceph, React Native, Salt, Ansible, Angular, Gatsby 및 Guava 프로젝트도 계획되어 있습니다.
이는 보안 검토 및 소스 코드 감사를 통해 오픈 소스 소프트웨어를 개선하는 OSTIF 모델을 지원하기 위해 대기업 기부자를 유치하는 데 큰 성공을 거두었습니다.
안전영향평가를 바탕으로 경험적으로 선정 고려 중인 프로젝트의 보안을 강화함으로써 오픈 소스 생태계에서 프로젝트의 잠재력과 커뮤니티에 대한 잠재적 이익. GitHub의 약 100개 프로젝트에 대해 계수가 계산되었습니다. 의존성으로 사용의 인기도와 같은 요인을 고려하여, 인프라 수요, 개발자 수, 개발 활동, 폐쇄 및 비 폐쇄 오류 메시지 수, 프로젝트를 지원하는 조직 수, 업데이트 빈도, 취약점 식별 이력 등 .
푸엔테스 : https://ostif.org/, https://security.googleblog.com/