Kilka dni temus Google przedstawił inicjatywę Secure Open Source (SOS), co? zapewniać premie za prace związane ze wzmacnianiem krytycznego oprogramowania open source i na które przeznaczono milion dolarów na pierwsze płatności, ale jeśli inicjatywa zostanie uznana za udaną, inwestycje w projekt będą kontynuowane.
Wnioski o wynagrodzenie są przyjmowane tylko za zaakceptowane zmiany w projektach z poziomem krytyczności co najmniej 0.6 zgodnie z OpenSSF Critical Score lub umieszczone na liście projektów, które wymagają specjalnych kontroli bezpieczeństwa.
Charakter proponowanych zmian powinien być związany z poprawą bezpieczeństwa w obszarach takich jak wzmocnienie ochrony elementów infrastruktury (np. procesy ciągłej integracji i dystrybucji), wdrożenie systemów weryfikacji podpisów cyfrowych komponentów oprogramowania, zwiększenie produktu poziom (przegląd, ochrona gałęzi, testy Fuzzing, ochrona przed atakami zależności).
W ciągu ostatniego roku dokonaliśmy szeregu inwestycji w celu wzmocnienia bezpieczeństwa krytycznych projektów open source, a niedawno ogłosiliśmy nasze zobowiązanie w wysokości 10 miliardów dolarów na obronę cyberbezpieczeństwa, w tym 100 milionów dolarów na wsparcie fundacji zewnętrznych, które zarządzają bezpieczeństwem open source priorytety i pomóc naprawić luki w zabezpieczeniach.
Jeśli chodzi o kwoty premii, będą one wydawane w następujący sposób:
- 10,000 XNUMX USD lub więcej — za wprowadzenie długoterminowych, znaczących, znaczących i złożonych ulepszeń, które chronią przed poważnymi lukami w otwartym kodzie projektu lub infrastrukturze.
- 5000 $ - 10000 XNUMX $ - za ulepszenia o średnim stopniu trudności, które mają pozytywny wpływ na bezpieczeństwo.
- 1000 $- 5000 $ za ulepszenia o średnim stopniu trudności w celu zwiększenia bezpieczeństwa.
- 505 USD - za drobne ulepszenia bezpieczeństwa.
Dzisiaj mamy przyjemność ogłosić, że sponsorujemy pilotażowy program Secure Open Source (SOS) prowadzony przez Linux Foundation. Ten program finansowo nagradza programistów za poprawę bezpieczeństwa krytycznych projektów open source, na których wszyscy polegamy. Zaczynamy od inwestycji w wysokości 1 miliona dolarów i planujemy rozszerzyć zasięg programu w oparciu o opinie społeczności.
Z drugiej strony OSTIF (Open Source Technology Enhancement Fund), utworzony w celu wzmocnienia bezpieczeństwa projektów open source, ogłosił partnerstwo z firmą Google, która wyraziła chęć sfinansowania niezależnego audytu bezpieczeństwa 8 projektów otwarte źródło.
Dzięki środkom otrzymanym od Google postanowiono przeprowadzić audyt Gita, biblioteki JavaScript Lodash, frameworka PHP Laravel, frameworka Java Slf4j, bibliotek Jackson JSON (Jackson-core i Jackson-databind) oraz komponentów Apache Http (Httpcomponents- rdzeń i komponenty HTTP).
Wsparcie Google umożliwi OSTIF uruchomienie programu Managed Audit Program (MAP), który rozszerzy nasze dogłębne przeglądy bezpieczeństwa o więcej projektów istotnych dla ekosystemu open source.
Wcześniej, wykorzystując środki otrzymane w wyniku zbiórki darowizn, fundusz OSTIF przeprowadził już audyt projektów OpenSSL, VeraCrypt, OpenVPN, Monero, Unbound DNS i QRL.
Oddzielnie społeczność skompilowała już narzędzia do audytu frameworka PHP Symfony. W przypadku dodatkowego finansowania audytu planowane są również projekty Systemd, Electron, Rails, Drupal, Joomla, WebPack, Reprepro, Ceph, React Native, Salt, Ansible, Angular, Gatsby i Guava.
Oznacza to wielki sukces w przyciąganiu dużych darczyńców korporacyjnych do wspierania modelu OSTIF polegającego na ulepszaniu oprogramowania open source poprzez przeglądy bezpieczeństwa i audyty kodu źródłowego.
Wybór został dokonany empirycznie na podstawie oceny wpływu na bezpieczeństwo projektu w ekosystemie open source i potencjalne korzyści dla społeczności poprzez zwiększenie bezpieczeństwa rozważanych projektów. Dla około 100 XNUMX projektów na GitHubie obliczono współczynnik uwzględnienie takich czynników jak popularność użytkowania jako zależność, zapotrzebowanie na infrastrukturę, liczba deweloperów, aktywność deweloperska, liczba zamkniętych i niezamkniętych komunikatów o błędach, liczba organizacji wspierających projekt, częstotliwość aktualizacji, historia identyfikacji podatności itp. .
Źródła: https://ostif.org/, https://security.googleblog.com/