Vários dias atráss O Google revelou a iniciativa Secure Open Source (SOS), o que fornecer bônus por trabalho relacionado ao fortalecimento de software de código aberto crítico e para o qual foi alocado um milhão de dólares para os primeiros pagamentos, mas se a iniciativa for reconhecida como bem-sucedida, o investimento no projeto continuará.
Pedidos de remuneração são aceitos apenas para mudanças aceitas em projetos com um nível de criticidade de pelo menos 0.6 de acordo com o OpenSSF Critically Score ou incluídos na lista de projetos que requerem controles de segurança especiais.
A natureza das mudanças propostas deve estar relacionada à melhoria da segurança em áreas como o fortalecimento da proteção dos elementos de infraestrutura (por exemplo, integração contínua e processos de distribuição), implementação de sistemas de verificação para assinaturas digitais de componentes de produtos de software, aumento do produto nível (revisão, proteção de ramificação, teste de difusão, proteção contra ataques de dependência).
No ano passado, fizemos uma série de investimentos para fortalecer a segurança de projetos críticos de código aberto e recentemente anunciamos nosso compromisso de US $ 10 bilhões com a defesa da segurança cibernética, incluindo US $ 100 milhões para apoiar fundações terceirizadas que gerenciam a segurança de código aberto prioridades e ajudar a corrigir vulnerabilidades.
Em relação aos valores dos bônus, estes serão emitidos da seguinte forma:
- $ 10,000 ou mais - para a introdução de melhorias de longo prazo, significativas, significativas e complexas que protegem contra vulnerabilidades sérias em código de projeto aberto ou infraestrutura.
- $ 5000 - $ 10000 - para atualizações de dificuldade média que tenham um efeito positivo na segurança.
- $ 1000- $ 5000 para atualizações de dificuldade moderada para aumentar a segurança.
- $ 505 - para pequenas melhorias de segurança.
Hoje, temos o prazer de anunciar nosso patrocínio do programa piloto Secure Open Source (SOS) liderado pela Linux Foundation. Este programa recompensa financeiramente os desenvolvedores por melhorarem a segurança de projetos críticos de código aberto dos quais todos dependemos. Estamos começando com um investimento de US $ 1 milhão e planejamos expandir o alcance do programa com base no feedback da comunidade.
Por outro lado o OSTIF (Open Source Technology Enhancement Fund), criado para fortalecer a segurança de projetos de código aberto, anunciou uma parceria com o Google, que expressou sua disposição de financiar uma auditoria de segurança independente de 8 projetos Código aberto.
Com os recursos recebidos do Google, decidiu-se auditar o Git, a biblioteca Lodash JavaScript, o framework PHP Laravel, o framework Slf4j Java, as bibliotecas Jackson JSON (Jackson-core e Jackson-databind) e os componentes Apache Http (Httpcomponents- core e Httpcomponents).
O apoio do Google permitirá que a OSTIF lance o Managed Audit Program (MAP), que estenderá nossas análises de segurança aprofundadas a mais projetos vitais para o ecossistema de código aberto.
Anteriormente, utilizando os recursos recebidos com a arrecadação de doações, o fundo OSTIF já auditou os projetos OpenSSL, VeraCrypt, OpenVPN, Monero, Unbound DNS e QRL.
Separadamente, a comunidade já compilou ferramentas para auditar o framework PHP Symfony. No caso de financiamento adicional para a auditoria, os projetos Systemd, Electron, Rails, Drupal, Joomla, WebPack, Reprepro, Ceph, React Native, Salt, Ansible, Angular, Gatsby e Guava também estão planejados.
Isso representa um grande sucesso em atrair grandes doadores corporativos para apoiar o modelo da OSTIF de melhorar o software de código-fonte aberto por meio de análises de segurança e auditorias de código-fonte.
A escolha foi feita empiricamente com base em uma avaliação de impacto de segurança do projeto no ecossistema de código aberto e o benefício potencial para a comunidade, aumentando a segurança dos projetos em consideração. Para cerca de 100 projetos no GitHub, um coeficiente foi calculado levando em consideração fatores como a popularidade do uso como dependência, demanda de infraestrutura, número de desenvolvedores, atividade de desenvolvimento, número de mensagens de erro fechadas e não fechadas, número de organizações apoiando o projeto, frequência de atualizações, histórico de identificação de vulnerabilidade, etc.
Fontes: https://ostif.org/, https://security.googleblog.com/