Disa ditë më parës Google zbuloi nismën Secure Open Source (SOS), çfarë siguroni shpërblime për punën në lidhje me forcimin e softuerit kritik me burim të hapur dhe të cilave janë ndarë një milion dollarë për pagesat e para, por nëse nisma njihet si e suksesshme, investimi në projekt do të vazhdojë.
Kërkesat për kompensim pranohen vetëm për ndryshimet e pranuara në projekte me një nivel kriticiteti prej të paktën 0.6 sipas OpenSSF Critically Score ose të përfshira në listën e projekteve që kërkojnë kontrolle të veçanta të sigurisë.
Natyra e ndryshimeve të propozuara duhet të lidhet me përmirësimin e sigurisë në fusha të tilla si forcimi i mbrojtjes së elementeve të infrastrukturës (për shembull, proceset e integrimit dhe shpërndarjes së vazhdueshme), zbatimi i sistemeve të verifikimit për nënshkrimet dixhitale të përbërësve të produkteve softuerike, rritja e produktit niveli (rishikimi, mbrojtja e degës, Testimi i ngatërruar, mbrojtja kundër sulmeve të varësisë).
Gjatë vitit të kaluar, ne bëmë një numër investimesh për të forcuar sigurinë e projekteve kritike me burim të hapur, dhe kohët e fundit njoftuam angazhimin tonë prej 10 miliardë dollarësh për mbrojtjen e sigurisë kibernetike, përfshirë 100 milion dollarë për të mbështetur fondacionet e palëve të treta që menaxhojnë sigurinë me burim të hapur prioritetet dhe ndihmojnë në rregullimin e dobësive.
Lidhur me shumat e shpërblimeve, ato do të lëshohen si më poshtë:
- $ 10,000 ose më shumë - Për prezantimin e përmirësimeve afatgjata, domethënëse, domethënëse dhe komplekse që mbrojnë nga dobësitë serioze në kodin ose infrastrukturën e hapur të projektit.
- $ 5000 - $ 10000 - për azhurnimet me vështirësi të mesme që kanë një efekt pozitiv në sigurinë.
- $ 1000- $ 5000 për azhurnime me vështirësi të moderuara për të rritur sigurinë.
- 505 dollarë - për përmirësime të vogla të sigurisë.
Sot, ne jemi të kënaqur të shpallim sponsorizimin tonë të programit pilot të Sigurt Open Source (SOS) të udhëhequr nga Fondacioni Linux. Ky program shpërblen financiarisht zhvilluesit për përmirësimin e sigurisë së projekteve kritike me burim të hapur nga të cilët të gjithë varemi. Ne po fillojmë me një investim prej 1 milion dollarësh dhe planifikojmë të zgjerojmë shtrirjen e programit bazuar në reagimet e komunitetit.
Nga ana tjetër OSTIF (Fondi për Zgjerimin e Teknologjisë me Burim të Hapur), krijuar për të forcuar sigurinë e projekteve me burim të hapur, njoftoi një partneritet me Google, i cili shprehu gatishmërinë e tij për të financuar një auditim të pavarur të sigurisë të 8 projekteve burim i hapur.
Me fondet e marra nga Google, u vendos që të auditohet Git, biblioteka Lodash JavaScript, kuadri PHP Laravel, korniza Slf4j Java, bibliotekat Jackson JSON (Jackson-core dhe Jackson-databind) dhe komponentët Apache Http (Httpcomponents- thelbësore dhe Httpkomponentët).
Mbështetja e Google do të lejojë OSTIF të nisë Programin e Auditimit të Menaxhuar (MAP), i cili do të zgjerojë rishikimet tona të sigurisë në më shumë projekte jetike për ekosistemin me burim të hapur.
Më parë, duke përdorur fondet e marra si rezultat i mbledhjes së donacioneve, fondi OSTIF ka audituar tashmë projektet OpenSSL, VeraCrypt, OpenVPN, Monero, Unbound DNS dhe QRL.
Më vete, komuniteti tashmë ka përpiluar mjete për auditimin e kornizës PHP Symfony. Në rast të financimit shtesë për auditimin, janë planifikuar gjithashtu projektet Systemd, Electron, Rails, Drupal, Joomla, WebPack, Reprepro, Ceph, React Native, Salt, Ansible, Angular, Gatsby dhe Guava.
Kjo shënon sukses të madh në tërheqjen e donatorëve të mëdhenj të korporatave për të mbështetur modelin e OSTIF për përmirësimin e softuerit me kod të hapur përmes rishikimeve të sigurisë dhe auditimeve të kodit burimor.
Zgjedhja u bë në mënyrë empirike bazuar në një vlerësim të ndikimit të sigurisë të projektit në ekosistemin me burim të hapur dhe përfitimin e mundshëm për komunitetin duke rritur sigurinë e projekteve në shqyrtim. Për rreth 100 projekte në GitHub, u llogarit një koeficient duke marrë parasysh faktorë të tillë si popullariteti i përdorimit si një varësi, kërkesa për infrastrukturë, numri i zhvilluesve, aktiviteti i zhvillimit, numri i mesazheve të gabimit të mbyllur dhe jo të mbyllur, numri i organizatave që mbështesin projektin, shpeshtësia e përditësimeve, historia e identifikimit të cenueshmërisë, etj.
Fuentes: https://ostif.org/, https://security.googleblog.com/