Pred niekoľkými dňamis Google predstavil iniciatívu Secure Open Source (SOS), čo poskytovať bonusy za práce súvisiace s posilňovaním kritického softvéru s otvoreným zdrojovým kódom a ktorým bolo vyčlenených milión dolárov na prvé platby, ale ak bude iniciatíva uznaná za úspešnú, investície do projektu budú pokračovať.
Žiadosti o odmenu sú akceptované iba za prijaté zmeny v projektoch s kritickou úrovňou najmenej 0.6 podľa kritického skóre OpenSSF alebo zaradené do zoznamu projektov, ktoré vyžadujú špeciálne bezpečnostné kontroly.
Povaha navrhovaných zmien by mala súvisieť so zlepšením zabezpečenia v oblastiach, ako je posilnenie ochrany prvkov infraštruktúry (napríklad nepretržitá integrácia a distribučné procesy), zavedenie overovacích systémov pre digitálne podpisy súčastí softvérových produktov, zvýšenie produktu úroveň (kontrola, ochrana vetiev, Fuzzing testovanie, ochrana pred útokmi závislosti).
Za posledný rok sme urobili niekoľko investícií na posilnenie bezpečnosti kritických open source projektov a nedávno sme oznámili náš záväzok 10 miliárd dolárov na ochranu pred kybernetickou bezpečnosťou, vrátane 100 miliónov dolárov na podporu nadácií tretích strán, ktoré spravujú bezpečnosť open source. priorít a pomôcť opraviť zraniteľné miesta.
Pokiaľ ide o sumy bonusov, budú vydané nasledovne:
- 10,000 XNUMX dolárov a viac - Na vytváranie dlhodobých, významných, relevantných a komplexných vylepšení, ktoré chránia pred vážnymi chybami zabezpečenia v kóde alebo infraštruktúre otvoreného projektu.
- 5000 10000 - XNUMX XNUMX dolárov - za vylepšenia strednej náročnosti, ktoré majú pozitívny vplyv na bezpečnosť.
- 1000 5000- XNUMX XNUMX dolárov za upgrady miernych ťažkostí na zvýšenie bezpečnosti.
- 505 dolárov - za malé vylepšenia zabezpečenia.
Dnes s potešením oznamujeme, že sponzorujeme pilotný program Secure Open Source (SOS) vedený Linux Foundation. Tento program finančne odmeňuje vývojárov za zlepšenie bezpečnosti kritických open source projektov, na ktorých sme všetci závislí. Začíname s investíciou 1 milión dolárov a plánujeme rozšíriť dosah programu na základe spätnej väzby komunity.
Na druhú stranu OSTIF (Open Source Technology Enhancement Fund), vytvorený za účelom posilnenia bezpečnosti open source projektov, oznámila partnerstvo so spoločnosťou Google, ktorá vyjadrila ochotu financovať nezávislý bezpečnostný audit 8 projektov otvorený zdroj.
S finančnými prostriedkami prijatými od spoločnosti Google bolo rozhodnuté vykonať audit Gitu, knižnice JavaScript Lodash, rámca PHP Laravel, rámca Slf4j Java, knižníc Jackson JSON (Jackson-core a Jackson-databind) a komponentov Apache Http (Httpcomponents- jadro a komponenty Http).
Podpora spoločnosti Google umožní OSTIFu spustiť program riadeného auditu (MAP), ktorý rozšíri naše hĺbkové kontroly zabezpečenia o ďalšie projekty zásadné pre ekosystém open source.
Predtým pomocou finančných prostriedkov prijatých v dôsledku zbierky darov fond OSTIF už vykonal audit projektov OpenSSL, VeraCrypt, OpenVPN, Monero, Unbound DNS a QRL.
Komunita už samostatne zostavila nástroje na auditovanie rámca PHP Symfony. V prípade dodatočného financovania auditu sú v pláne aj projekty Systemd, Electron, Rails, Drupal, Joomla, WebPack, Reprepro, Ceph, React Native, Salt, Ansible, Angular, Gatsby a Guava.
To predstavuje veľký úspech pri získavaní veľkých firemných darcov na podporu modelu OSTIF na vylepšovanie softvéru s otvoreným zdrojovým kódom prostredníctvom recenzií zabezpečenia a auditov zdrojových kódov.
Voľba bola vykonaná empiricky na základe posúdenia vplyvu na bezpečnosť projektu v ekosystéme s otvoreným zdrojovým kódom a potenciálny prínos pre komunitu zvýšením bezpečnosti posudzovaných projektov. Pre približne 100 XNUMX projektov na GitHub bol vypočítaný koeficient berúc do úvahy faktory, ako je popularita použitia ako závislosti, dopyt po infraštruktúre, počet vývojárov, vývojová činnosť, počet uzavretých a neuzavretých chybových hlásení, počet organizácií podporujúcich projekt, frekvencia aktualizácií, história identifikácie zraniteľnosti atď.
Zdroje: https://ostif.org/, https://security.googleblog.com/