För flera dagar sedans Google presenterade initiativet Secure Open Source (SOS), vad ge bonusar för arbete med att stärka kritisk öppen källkod och till vilka en miljon dollar har avsatts för de första betalningarna, men om initiativet erkänns som framgångsrikt kommer investeringen i projektet att fortsätta.
Ersättningsbegäranden accepteras endast för accepterade ändringar i projekt med en kritikalitetsnivå på minst 0.6 enligt OpenSSF Critically Score eller ingår i listan över projekt som kräver särskilda säkerhetskontroller.
De föreslagna ändringarnas karaktär bör relateras till förbättring av säkerheten inom områden som att förstärka skyddet av infrastrukturelement (till exempel kontinuerlig integration och distributionsprocesser), implementera verifieringssystem för digitala signaturer av komponenter i programvaruprodukter, öka produkten nivå (granskning, grenskydd, Fuzzing -test, skydd mot beroendeattacker).
Under det senaste året har vi gjort ett antal investeringar för att stärka säkerheten för kritiska öppen källkodsprojekt, och vi meddelade nyligen vårt åtagande på 10 miljarder dollar för cybersäkerhetsförsvar, inklusive 100 miljoner dollar för att stödja tredjepartsstiftelser som hanterar öppen källkodssäkerhet prioriteringar och hjälp med att åtgärda sårbarheter.
Angående bonusarnas beloppkommer dessa att utfärdas enligt följande:
- 10,000 XNUMX dollar eller mer - För att introducera långsiktiga, betydande, betydande och komplexa förbättringar som skyddar mot allvarliga sårbarheter i öppen projektkod eller infrastruktur.
- $ 5000 - $ 10000 XNUMX - för uppgraderingar av medelstora svårigheter som har en positiv effekt på säkerheten.
- $ 1000- $ 5000 för uppgraderingar av måttliga svårigheter för att öka säkerheten.
- $ 505 - för små säkerhetsförbättringar.
Idag är vi glada att kunna tillkännage vår sponsring av pilotprogrammet Secure Open Source (SOS) som leds av Linux Foundation. Detta program belönar utvecklare ekonomiskt för att förbättra säkerheten för kritiska öppen källkodsprojekt som vi alla är beroende av. Vi börjar med en investering på 1 miljon dollar och planerar att utöka programmets räckvidd baserat på feedback från gemenskapen.
Å andra sidan OSTIF (Open Source Technology Enhancement Fund), skapad för att stärka säkerheten för projekt med öppen källkod, tillkännagav ett partnerskap med Google, som uttryckte sin vilja att finansiera en oberoende säkerhetsrevision av åtta projekt öppen källa.
Med de medel som mottagits från Google beslutades att granska Git, Lodash JavaScript-bibliotek, PHP Laravel-ramverket, Slf4j Java-ramverket, Jackson JSON-biblioteken (Jackson-core och Jackson-databind) och Apache Http-komponenterna (Httpcomponents- kärna och Httpkomponenter).
Googles support gör det möjligt för OSTIF att lansera Managed Audit Program (MAP), vilket kommer att utvidga våra fördjupade säkerhetsgranskningar till fler projekt som är viktiga för ekosystemet med öppen källkod.
Tidigare använde de medel som erhölls till följd av insamlingen av donationer, fonden OSTIF har redan granskat OpenSSL, VeraCrypt, OpenVPN, Monero, Obundna projekt DNS och QRL.
Separat har gemenskapen redan sammanställt verktyg för granskning av PHP Symfony -ramverket. Vid ytterligare finansiering för revisionen planeras också Systemd, Electron, Rails, Drupal, Joomla, WebPack, Reprepro, Ceph, React Native, Salt, Ansible, Angular, Gatsby och Guava.
Detta markerar stor framgång med att locka stora företagsgivare att stödja OSTIF: s modell för att förbättra programvara med öppen källkod genom säkerhetsgranskningar och källkodrevisioner.
Valet gjordes empiriskt baserat på en säkerhetsanalys av projektet i open source -ekosystemet och den potentiella nyttan för samhället genom att öka säkerheten för de projekt som övervägs. För cirka 100 XNUMX projekt på GitHub beräknades en koefficient med hänsyn till faktorer som användningens popularitet som beroende, infrastrukturbehov, antal utvecklare, utvecklingsaktivitet, antal stängda och icke-stängda felmeddelanden, antal organisationer som stöder projektet, uppdateringsfrekvens, historik över sårbarhetsidentifiering etc.
Källor: https://ostif.org/, https://security.googleblog.com/