Acum câteva ziles Google a dezvăluit inițiativa Secure Open Source (SOS), ce oferiți bonusuri pentru lucrări legate de consolidarea software-ului open source critic și pentru care s-au alocat un milion de dolari pentru primele plăți, dar dacă inițiativa este recunoscută ca fiind de succes, investițiile în proiect vor continua.
Cererile de remunerare sunt acceptate numai pentru modificările acceptate în proiecte cu un nivel de criticitate de cel puțin 0.6 în conformitate cu OpenSSF Critically Score sau incluse în lista proiectelor care necesită controale speciale de securitate.
Natura modificărilor propuse ar trebui să fie legată de îmbunătățirea securității în domenii precum consolidarea protecției elementelor de infrastructură (de exemplu, procesele de integrare și distribuție continuă), implementarea sistemelor de verificare pentru semnăturile digitale ale componentelor produselor software, creșterea produsului nivel (revizuire, protecție sucursală, testare Fuzzing, protecție împotriva atacurilor de dependență).
În ultimul an, am făcut o serie de investiții pentru a consolida securitatea proiectelor open source critice și recent am anunțat angajamentul nostru de 10 miliarde de dolari pentru apărarea cibernetică, inclusiv 100 de milioane de dolari pentru a sprijini fundațiile terțe care gestionează securitatea open source prioritățile și ajută la remedierea vulnerabilităților.
În ceea ce privește sumele bonusurilor, acestea vor fi emise după cum urmează:
- 10,000 USD sau mai mult - Pentru introducerea unor îmbunătățiri pe termen lung, semnificative, semnificative și complexe, care protejează împotriva vulnerabilităților grave în codul proiectului deschis sau în infrastructură.
- 5000 $ - 10000 $ - pentru upgrade-uri de dificultate medie care au un efect pozitiv asupra siguranței.
- 1000 $ - 5000 $ pentru upgrade-uri de dificultate moderată pentru a crește siguranța.
- 505 USD - pentru mici îmbunătățiri de securitate.
Astăzi, suntem încântați să anunțăm sponsorizarea programului pilot Secure Open Source (SOS) condus de Linux Foundation. Acest program recompensează financiar dezvoltatorii pentru îmbunătățirea securității proiectelor open source critice de care depindem cu toții. Începem cu o investiție de 1 milion de dolari și intenționăm să extindem acoperirea programului pe baza feedback-ului comunității.
Pe de altă parte OSTIF (Open Source Technology Enhancement Fund), creat pentru a consolida securitatea proiectelor open source, a anunțat un parteneriat cu Google, care și-a exprimat dorința de a finanța un audit de securitate independent pentru 8 proiecte sursa deschisa.
Cu fondurile primite de la Google, s-a decis auditarea Git, a bibliotecii JavaScript Lodash, a cadrului PHP Laravel, a cadrului Java Slf4j, a bibliotecilor Jackson JSON (Jackson-core și Jackson-databind) și a componentelor Apache Http (Httpcomponents- nuclee și componente Http).
Asistența Google va permite OSTIF să lanseze Programul de audit gestionat (MAP), care va extinde analizele noastre detaliate de securitate la mai multe proiecte vitale pentru ecosistemul open source.
Anterior, folosind fondurile primite ca urmare a colectării donațiilor, fondul OSTIF a auditat deja proiectele OpenSSL, VeraCrypt, OpenVPN, Monero, Unbound DNS și QRL.
În mod separat, comunitatea a compilat deja instrumente pentru auditul cadrului PHP Symfony. În cazul finanțării suplimentare pentru audit, sunt planificate, de asemenea, proiectele Systemd, Electron, Rails, Drupal, Joomla, WebPack, Reprepro, Ceph, React Native, Salt, Ansible, Angular, Gatsby și Guava.
Acest lucru marchează un mare succes în atragerea de mari donatori corporativi pentru a sprijini modelul OSTIF de îmbunătățire a software-ului open source prin recenzii de securitate și audituri ale codului sursă.
Alegerea a fost făcută empiric pe baza unei evaluări a impactului asupra siguranței a proiectului în ecosistemul open source și potențialul beneficiu pentru comunitate prin creșterea securității proiectelor avute în vedere. Pentru aproximativ 100 de proiecte pe GitHub, a fost calculat un coeficient luând în considerare factori precum popularitatea utilizării ca dependență, cererea de infrastructură, numărul de dezvoltatori, activitatea de dezvoltare, numărul de mesaje de eroare închise și non-închise, numărul de organizații care susțin proiectul, frecvența actualizărilor, istoricul identificării vulnerabilității etc.
Fuentes: https://ostif.org/, https://security.googleblog.com/