Een aantal dagen geledens Google heeft het Secure Open Source-initiatief onthuld (SOS), wat? bonussen verstrekken voor werk gerelateerd aan het versterken van kritieke open source software en waarvoor een miljoen dollar is uitgetrokken voor de eerste betalingen, maar als het initiatief als succesvol wordt erkend, zal de investering in het project worden voortgezet.
Beloningsverzoeken worden alleen geaccepteerd voor geaccepteerde wijzigingen in projecten met een kriticiteitsniveau van ten minste 0.6 volgens de OpenSSF Critically Score of opgenomen in de lijst van projecten die speciale beveiligingscontroles vereisen.
De aard van de voorgestelde wijzigingen moet verband houden met de verbetering van de beveiliging op gebieden zoals het versterken van de bescherming van infrastructuurelementen (bijvoorbeeld continue integratie- en distributieprocessen), het implementeren van verificatiesystemen voor digitale handtekeningen van componenten van softwareproducten, het niveau (review, branch-beveiliging, Fuzzing-testen, bescherming tegen afhankelijkheidsaanvallen).
In het afgelopen jaar hebben we een aantal investeringen gedaan om de beveiliging van kritieke open source-projecten te versterken, en onlangs hebben we onze inzet van $ 10 miljard voor de verdediging van cyberbeveiliging aangekondigd, waaronder $ 100 miljoen ter ondersteuning van externe stichtingen die de open source-beveiliging beheren prioriteiten en helpen bij het oplossen van kwetsbaarheden.
Wat betreft de bedragen van de bonussen, deze worden als volgt uitgegeven:
- $ 10,000 of meer - Voor het maken van langdurige, significante, relevante en complexe verbeteringen die beschermen tegen ernstige kwetsbaarheden in open projectcode of infrastructuur.
- $ 5000- $ 10000 - voor upgrades van gemiddelde moeilijkheidsgraad die een positief effect hebben op de veiligheid.
- $ 1000- $ 5000 voor upgrades van gemiddelde moeilijkheidsgraad om de veiligheid te vergroten.
- $ 505 - voor kleine beveiligingsverbeteringen.
Vandaag kondigen we met genoegen onze sponsoring aan van het Secure Open Source (SOS) pilootprogramma onder leiding van de Linux Foundation. Dit programma beloont ontwikkelaars financieel voor het verbeteren van de beveiliging van kritieke open source-projecten waarvan we allemaal afhankelijk zijn. We beginnen met een investering van $ 1 miljoen en zijn van plan het bereik van het programma uit te breiden op basis van feedback van de gemeenschap.
Bovendien het OSTIF (Open Source Technology Enhancement Fund), opgericht om de beveiliging van open source-projecten te versterken, kondigde een samenwerking aan met Google, die zich bereid verklaarde een onafhankelijke beveiligingsaudit van 8 projecten te financieren open source.
Met het geld van Google werd besloten om Git, de Lodash JavaScript-bibliotheek, het PHP Laravel-framework, het Slf4j Java-framework, de Jackson JSON-bibliotheken (Jackson-core en Jackson-databind) en de Apache Http-componenten (Httpcomponents- core en HTTP-componenten).
Dankzij de ondersteuning van Google kan OSTIF het Managed Audit Program (MAP) lanceren, dat onze diepgaande beveiligingsbeoordelingen zal uitbreiden naar meer projecten die van vitaal belang zijn voor het open source-ecosysteem.
Voorheen gebruikte het fonds de ontvangen gelden als gevolg van het inzamelen van donaties OSTIF heeft de projecten OpenSSL, VeraCrypt, OpenVPN, Monero en Unbound al gecontroleerd DNS en QRL.
Los daarvan heeft de community al tools samengesteld voor het controleren van het PHP Symfony-framework. In het geval van extra financiering voor de audit, zijn ook Systemd-, Electron-, Rails-, Drupal-, Joomla-, WebPack-, Reprepro-, Ceph-, React Native-, Salt-, Ansible-, Angular-, Gatsby- en Guava-projecten gepland.
Dit markeert een groot succes bij het aantrekken van grote zakelijke donateurs om het OSTIF-model voor het verbeteren van open source-software te ondersteunen door middel van beveiligingsbeoordelingen en broncode-audits.
De keuze is empirisch gemaakt op basis van een veiligheidseffectbeoordeling van het project in het open source-ecosysteem en het potentiële voordeel voor de gemeenschap door de veiligheid van de projecten in kwestie te vergroten. Voor ongeveer 100 projecten op GitHub is een coëfficiënt berekend rekening houdend met factoren zoals de populariteit van gebruik als afhankelijkheid, vraag naar infrastructuur, aantal ontwikkelaars, ontwikkelingsactiviteit, aantal gesloten en niet-gesloten foutmeldingen, aantal organisaties dat het project ondersteunt, frequentie van updates, geschiedenis van identificatie van kwetsbaarheden, enz. .
Bronnen: https://ostif.org/, https://security.googleblog.com/