For flere dager sidens Google avduket initiativet Secure Open Source (SOS), hva gi bonuser for arbeid knyttet til å styrke kritisk åpen kildekode -programvare og som det er bevilget en million dollar til for de første betalingene, men hvis initiativet blir anerkjent som vellykket, vil investeringen i prosjektet fortsette.
Krav om kompensasjon godtas bare for aksepterte endringer i prosjekter med et kritikalitetsnivå på minst 0.6 i henhold til OpenSSF Critically Score eller inkludert i listen over prosjekter som krever spesiell sikkerhetskontroll.
De foreslåtte endringene bør være relatert til forbedring av sikkerheten på områder som å styrke beskyttelsen av infrastrukturelementer (for eksempel kontinuerlig integrering og distribusjonsprosesser), implementering av verifiseringssystemer for digitale signaturer av komponenter i programvareprodukter, øke produktet nivå (gjennomgang, grenbeskyttelse, Fuzzing -testing, beskyttelse mot avhengighetsangrep).
I løpet av det siste året har vi gjort en rekke investeringer for å styrke sikkerheten til kritiske åpen kildekode-prosjekter, og vi kunngjorde nylig vårt engasjement på 10 milliarder dollar for cybersikkerhetsforsvar, inkludert 100 millioner dollar for å støtte tredjepartsfondasjoner som administrerer åpen kildekode-sikkerhet prioriteringer og hjelp til å fikse sårbarheter.
Når det gjelder beløpene på bonusene, vil disse bli utstedt som følger:
- $ 10,000 XNUMX eller mer - For å introdusere langsiktige, betydelige, betydelige og komplekse forbedringer som beskytter mot alvorlige sårbarheter i åpen prosjektkode eller infrastruktur.
- $ 5000 - $ 10000 - for oppgraderinger av middels vanskeligheter som har en positiv effekt på sikkerheten.
- $ 1000- $ 5000 for moderate oppgraderinger for å øke sikkerheten.
- $ 505 - for små sikkerhetsforbedringer.
I dag er vi glade for å kunngjøre sponsingen av pilotprogrammet Secure Open Source (SOS) ledet av Linux Foundation. Dette programmet belønner utviklere økonomisk for å forbedre sikkerheten til kritiske åpen kildekode -prosjekter som vi alle er avhengige av. Vi starter med en investering på 1 million dollar og planlegger å utvide programmets rekkevidde basert på tilbakemeldinger fra samfunnet.
På den annen side OSTIF (Open Source Technology Enhancement Fund), opprettet for å styrke sikkerheten til åpen kildekode -prosjekter, kunngjorde et partnerskap med Google, som uttrykte sin vilje til å finansiere en uavhengig sikkerhetsrevisjon av 8 prosjekter åpen kilde.
Med midlene mottatt fra Google ble det besluttet å revidere Git, Lodash JavaScript-bibliotek, PHP Laravel-rammeverket, Slf4j Java-rammeverket, Jackson JSON-bibliotekene (Jackson-core og Jackson-databind) og Apache Http-komponentene (Httpcomponents- kjerne og Httpkomponenter).
Googles støtte vil tillate OSTIF å lansere Managed Audit Program (MAP), som vil utvide våre grundige sikkerhetsvurderinger til flere prosjekter som er viktige for økosystemet med åpen kildekode.
Tidligere ved å bruke midlene mottatt som et resultat av innsamlingen av donasjoner, fondet OSTIF har allerede revidert OpenSSL, VeraCrypt, OpenVPN, Monero, Ubundne prosjekter DNS og QRL.
Hver for seg har samfunnet allerede samlet verktøy for revisjon av PHP Symfony -rammeverket. Ved tilleggsfinansiering for revisjonen planlegges også Systemd, Electron, Rails, Drupal, Joomla, WebPack, Reprepro, Ceph, React Native, Salt, Ansible, Angular, Gatsby og Guava -prosjekter.
Dette markerer stor suksess med å tiltrekke store bedriftsgivere til å støtte OSTIFs modell for å forbedre åpen kildekode -programvare gjennom sikkerhetsvurderinger og kildekoderevisjoner.
Valget ble gjort empirisk basert på en konsekvensanalyse av sikkerhet av prosjektet i open source -økosystemet og den potensielle fordelen for samfunnet ved å øke sikkerheten til prosjektene som vurderes. For rundt 100 XNUMX prosjekter på GitHub ble en koeffisient beregnet tar hensyn til faktorer som brukets popularitet som avhengighet, infrastrukturbehov, antall utviklere, utviklingsaktivitet, antall lukkede og ikke-lukkede feilmeldinger, antall organisasjoner som støtter prosjektet, hyppighet av oppdateringer, historikk om sårbarhetsidentifikasjon, etc.
Kilder: https://ostif.org/, https://security.googleblog.com/