Pirms vairākām dienāms Google atklāja drošā atvērtā pirmkoda iniciatīvu (SOS), ko nodrošināt prēmijas par darbu, kas saistīts ar kritiskās atvērtā pirmkoda programmatūras stiprināšanu un kuriem ir piešķirts miljons dolāru pirmajiem maksājumiem, bet, ja iniciatīva tiks atzīta par veiksmīgu, ieguldījumi projektā turpināsies.
Atlīdzības pieprasījumi tiek pieņemti tikai par pieņemtajām izmaiņām projektos ar kritiskuma līmeni vismaz 0.6 saskaņā ar OpenSSF kritisko rezultātu vai iekļauti to projektu sarakstā, kuriem nepieciešama īpaša drošības kontrole.
Ierosināto izmaiņu būtībai jābūt saistītai ar drošības uzlabošanu tādās jomās kā infrastruktūras elementu aizsardzības stiprināšana (piemēram, nepārtraukta integrācija un izplatīšanas procesi), programmatūras produktu komponentu ciparparakstu verifikācijas sistēmu ieviešana, produkta palielināšana. līmenis (pārskatīšana, filiāles aizsardzība, izplūduša pārbaude, aizsardzība pret atkarības uzbrukumiem).
Pagājušā gada laikā mēs esam veikuši vairākus ieguldījumus, lai stiprinātu kritisko atvērtā pirmkoda projektu drošību, un nesen paziņojām par savu apņemšanos 10 miljardu ASV dolāru apmērā kiberdrošības aizsardzībai, tostarp 100 miljonus ASV dolāru, lai atbalstītu trešo pušu fondus, kas pārvalda atvērtā pirmkoda drošību. prioritātes un palīdz novērst ievainojamības.
Attiecībā uz prēmiju summām, tie tiks izsniegti šādi:
- 10,000 XNUMX USD vai vairāk - lai ieviestu ilgtermiņa, nozīmīgus, nozīmīgus un sarežģītus uzlabojumus, kas aizsargā pret nopietnām ievainojamībām atklātā projekta kodā vai infrastruktūrā.
- 5000–10000 XNUMX USD - vidējas grūtības pakāpes uzlabojumiem, kas pozitīvi ietekmē drošību.
- 1000–5000 USD par vidējas grūtības līmeņa uzlabojumiem, lai palielinātu drošību.
- 505 USD - nelieliem drošības uzlabojumiem.
Šodien mums ir prieks paziņot, ka sponsorējam Linux fonda vadīto drošā atvērtā pirmkoda (SOS) izmēģinājuma programmu. Šī programma finansiāli atalgo izstrādātājus par kritisko atvērtā pirmkoda projektu drošības uzlabošanu, no kuriem mēs visi esam atkarīgi. Mēs sākam ar 1 miljona dolāru ieguldījumu un plānojam paplašināt programmas pieejamību, pamatojoties uz kopienas atsauksmēm.
No otras puses OSTIF (Atvērtā pirmkoda tehnoloģiju uzlabošanas fonds), kas izveidots, lai stiprinātu atvērtā pirmkoda projektu drošību, paziņoja par partnerību ar Google, kas pauda gatavību finansēt 8 projektu neatkarīgu drošības auditu atvērtais avots.
Ar līdzekļiem, kas saņemti no Google, tika nolemts pārbaudīt Git, Lodash JavaScript bibliotēku, PHP Laravel ietvaru, Slf4j Java ietvaru, Džeksona JSON bibliotēkas (Jackson-core un Jackson-databaseind) un Apache Http komponentus (Httpcomponents- kodols un Httpkomponenti).
Google atbalsts ļaus OSTIF uzsākt Pārvaldītās revīzijas programmu (MAP), kas paplašinās mūsu padziļinātos drošības pārskatus, iekļaujot citus projektus, kas ir svarīgi atvērtā pirmkoda ekosistēmai.
Iepriekš, izmantojot ziedojumu vākšanas rezultātā saņemtos līdzekļus, fonds OSTIF jau ir revidējis OpenSSL, VeraCrypt, OpenVPN, Monero, Unbound projektus DNS un QRL.
Atsevišķi kopiena jau ir apkopojusi rīkus PHP Symfony ietvara pārbaudei. Papildu finansējuma gadījumā revīzijai tiek plānoti arī Systemd, Electron, Rails, Drupal, Joomla, WebPack, Reprepro, Ceph, React Native, Salt, Ansible, Angular, Gatsby un Guava projekti.
Tas nozīmē lielus panākumus, piesaistot lielos korporatīvos ziedotājus, lai atbalstītu OSTIF atvērtā pirmkoda programmatūras uzlabošanas modeli, izmantojot drošības pārskatus un pirmkoda auditus.
Izvēle tika veikta empīriski, pamatojoties uz ietekmes uz drošību novērtējumu projekta atvērtā pirmkoda ekosistēmā un potenciālo ieguvumu sabiedrībai, palielinot izskatāmo projektu drošību. Apmēram 100 XNUMX GitHub projektu tika aprēķināts koeficients ņemot vērā tādus faktorus kā izmantošanas popularitāte kā atkarība, infrastruktūras pieprasījums, izstrādātāju skaits, izstrādes darbība, slēgto un neslēgto kļūdu ziņojumu skaits, projektu atbalstošo organizāciju skaits, atjauninājumu biežums, ievainojamības identificēšanas vēsture utt.
Avoti: https://ostif.org/, https://security.googleblog.com/