Pred nekaj dnevis Google je predstavil pobudo Secure Open Source (SOS), kaj zagotoviti bonuse za delo, povezano s krepitvijo kritične odprtokodne programske opreme in ki jim je bilo za prva plačila namenjenih milijon dolarjev, če pa bo pobuda priznana kot uspešna, se bodo naložbe v projekt nadaljevale.
Zahteve za prejemke se sprejemajo le za sprejete spremembe v projektih z stopnjo kritičnosti najmanj 0.6 v skladu z OpenSSF Critically Score ali vključeni na seznam projektov, ki zahtevajo poseben varnostni nadzor.
Narava predlaganih sprememb bi morala biti povezana z izboljšanjem varnosti na področjih, kot so krepitev zaščite elementov infrastrukture (na primer neprekinjeno povezovanje in distribucijski procesi), izvajanje sistemov preverjanja za digitalne podpise komponent programskih izdelkov, povečanje produkta ravni (pregled, zaščita podružnic, Fuzzing testiranje, zaščita pred napadi odvisnosti).
V zadnjem letu smo veliko vlagali v krepitev varnosti kritičnih odprtokodnih projektov, pred kratkim pa smo objavili svojo 10 milijard USD zavezo k obrambi kibernetske varnosti, vključno s 100 milijoni USD za podporo fundacijam tretjih oseb, ki upravljajo odprtokodno varnost prednostne naloge in pomaga odpraviti ranljivosti.
Glede zneskov bonusov, bodo izdani na naslednji način:
- 10,000 USD ali več - za uvedbo dolgoročnih, pomembnih, pomembnih in kompleksnih izboljšav, ki ščitijo pred resnimi ranljivostmi v odprti kodi projekta ali infrastrukturi.
- 5000–10000 USD - za nadgradnje srednje težavnosti, ki pozitivno vplivajo na varnost.
- 1000–5000 USD za nadgradnje z zmernimi težavami za večjo varnost.
- 505 USD - za manjše varnostne izboljšave.
Danes z veseljem objavljamo, da sponzoriramo pilotni program Secure Open Source (SOS), ki ga vodi Linux Foundation. Ta program finančno nagrajuje razvijalce za izboljšanje varnosti kritičnih odprtokodnih projektov, od katerih smo vsi odvisni. Začenjamo z naložbo v višini 1 milijona USD in načrtujemo razširitev dosega programa na podlagi povratnih informacij skupnosti.
Poleg tega OSTIF (Sklad za odprtokodno tehnologijo), ustanovljen za krepitev varnosti odprtokodnih projektov, je napovedal partnerstvo z Googlom, ki je izrazil pripravljenost financirati neodvisno varnostno revizijo 8 projektov odprtokodno.
S sredstvi, prejetimi od Googla, je bilo odločeno, da se revidira Git, knjižnica JavaScript Lodash, okvir PHP Laravel, okvir Slf4j Java, knjižnice Jackson JSON (Jackson-core in Jackson-databind) ter komponente Apache Http (Httpcomponents- jedro in komponente Http).
Googlova podpora bo OSTIF-u omogočila izvajanje programa upravljane revizije (MAP), ki bo razširil naše poglobljene varnostne preglede na več projektov, pomembnih za odprtokodni ekosistem.
Prej je s sredstvi, prejetimi kot posledica zbiranja donacij, sklad OSTIF je že revidiral projekte OpenSSL, VeraCrypt, OpenVPN, Monero, Brez obvez. DNS in QRL.
Ločeno je skupnost že pripravila orodja za revizijo okvira PHP Symfony. V primeru dodatnih sredstev za revizijo so predvideni tudi projekti Systemd, Electron, Rails, Drupal, Joomla, WebPack, Reprepro, Ceph, React Native, Salt, Ansible, Angular, Gatsby in Guava.
To pomeni velik uspeh pri privabljanju velikih korporacijskih donatorjev, ki podpirajo model izboljšanja odprtokodne programske opreme OSTIF z varnostnimi pregledi in revizijami izvorne kode.
Izbira je bila narejena empirično na podlagi ocene vpliva na varnost projekta v odprtokodnem ekosistemu in potencialno korist za skupnost s povečanjem varnosti obravnavanih projektov. Za približno 100 projektov na GitHubu so izračunali koeficient ob upoštevanju dejavnikov, kot je priljubljenost uporabe kot odvisnosti, povpraševanje po infrastrukturi, število razvijalcev, razvojna dejavnost, število zaprtih in zaprtih sporočil o napakah, število organizacij, ki podpirajo projekt, pogostost posodobitev, zgodovina identifikacije ranljivosti itd.
Fuentes: https://ostif.org/, https://security.googleblog.com/