Beberapa hari yang lalus Google melancarkan inisiatif Sumber Terbuka Selamat (SOS), apa memberikan bonus untuk pekerjaan yang berkaitan dengan pengukuhan perisian sumber terbuka yang kritikal dan yang berjuta-juta dolar telah diperuntukkan untuk pembayaran pertama, tetapi jika inisiatif itu diakui berjaya, pelaburan dalam projek itu akan diteruskan.
Permintaan pampasan hanya diterima untuk perubahan yang diterima dalam projek dengan tahap kritikal sekurang-kurangnya 0.6 mengikut Skor Kritikal OpenSSF atau termasuk dalam senarai projek yang memerlukan kawalan keselamatan khas.
Sifat perubahan yang dicadangkan harus berkaitan dengan peningkatan keselamatan di bidang seperti memperkuat perlindungan elemen infrastruktur (misalnya, proses integrasi dan pengedaran berterusan), menerapkan sistem pengesahan untuk tandatangan digital komponen produk perisian, meningkatkan produk tahap (kajian semula, perlindungan cabang, ujian Fuzzing, perlindungan terhadap serangan ketergantungan).
Sepanjang tahun lalu, kami membuat sejumlah pelaburan untuk mengukuhkan keselamatan projek sumber terbuka yang kritikal, dan baru-baru ini kami mengumumkan komitmen $ 10 bilion kami untuk pertahanan keselamatan siber, termasuk $ 100 juta untuk menyokong yayasan pihak ketiga yang menguruskan keselamatan sumber terbuka keutamaan dan membantu memperbaiki kelemahan.
Mengenai jumlah bonus, ini akan dikeluarkan seperti berikut:
- $ 10,000 atau lebih - Untuk memperkenalkan peningkatan jangka panjang yang kompleks, signifikan, dan relevan yang melindungi daripada kelemahan serius dalam kod atau infrastruktur projek terbuka.
- $ 5000- $ 10000 - untuk peningkatan kesukaran sederhana yang memberi kesan positif terhadap keselamatan.
- $ 1000- $ 5000 untuk peningkatan kesukaran sederhana untuk meningkatkan keselamatan.
- $ 505 - untuk peningkatan keselamatan kecil.
Hari ini, kami dengan senang hati mengumumkan penajaan program perintis Secure Open Source (SOS) yang diketuai oleh Linux Foundation. Program ini memberi ganjaran kepada pemaju untuk meningkatkan keselamatan projek sumber terbuka kritikal yang kita semua bergantung. Kami memulakan dengan pelaburan $ 1 juta dan merancang untuk memperluas jangkauan program berdasarkan maklum balas masyarakat.
Sebaliknya OSTIF (Dana Peningkatan Teknologi Sumber Terbuka), dibuat untuk memperkuat keselamatan projek sumber terbuka, mengumumkan kerjasama dengan Google, yang menyatakan kesediaannya untuk membiayai audit keselamatan bebas untuk 8 projek sumber terbuka.
Dengan dana yang diterima dari Google, diputuskan untuk mengaudit Git, perpustakaan JavaScript Lodash, kerangka PHP Laravel, kerangka Java Slf4j, perpustakaan Jackson JSON (Jackson-core dan Jackson-databaseind) dan komponen Apache Http (Httpcomponents- teras dan Httpkomponen).
Sokongan Google akan membolehkan OSTIF melancarkan Program Audit Terkelola (MAP), yang akan memperluas tinjauan keselamatan mendalam kami ke lebih banyak projek yang penting bagi ekosistem sumber terbuka.
Sebelumnya, dengan menggunakan dana yang diterima sebagai hasil kutipan derma, dana tersebut OSTIF telah mengaudit projek OpenSSL, VeraCrypt, OpenVPN, Monero, Unbound DNS dan QRL.
Secara berasingan, masyarakat telah mengumpulkan alat untuk mengaudit kerangka PHP Symfony. Sekiranya terdapat dana tambahan untuk audit, projek Systemd, Electron, Rails, Drupal, Joomla, WebPack, Reprepro, Ceph, React Native, Salt, Ansible, Angular, Gatsby dan Guava juga dirancang.
Ini menandakan kejayaan besar dalam menarik penderma korporat besar untuk menyokong model OSTIF dalam meningkatkan perisian sumber terbuka melalui tinjauan keselamatan dan audit kod sumber.
Pilihan dibuat secara empirik berdasarkan penilaian impak keselamatan projek dalam ekosistem sumber terbuka dan potensi keuntungan bagi masyarakat dengan meningkatkan keselamatan projek yang dipertimbangkan. Untuk kira-kira 100 projek di GitHub, pekali dikira dengan mengambil kira faktor seperti populariti penggunaan sebagai pergantungan, permintaan infrastruktur, bilangan pemaju, aktiviti pembangunan, jumlah pesanan ralat tertutup dan tidak tertutup, bilangan organisasi yang menyokong projek, kekerapan kemas kini, sejarah pengenalan kerentanan, dll.
Sumber: https://ostif.org/, https://security.googleblog.com/