Ilang araw na ang nakakalipass Inilantad ng Google ang pagkukusa ng Secure Open Source (SOS), ano magbigay ng mga bonus para sa gawaing nauugnay sa pagpapalakas ng kritikal na open source software at kung saan isang milyong dolyar ang inilaan para sa mga unang pagbabayad, ngunit kung ang pagkukusa ay kinikilala bilang matagumpay, magpapatuloy ang pamumuhunan sa proyekto.
Tumatanggap lamang ng mga kahilingan sa bayad para sa mga tinatanggap na pagbabago sa mga proyekto na may antas ng pagiging kritikal na hindi bababa sa 0.6 ayon sa OpenSSF Critically Score o kasama sa listahan ng mga proyekto na nangangailangan ng mga espesyal na kontrol sa seguridad.
Ang likas na katangian ng mga iminungkahing pagbabago ay dapat na nauugnay sa pagpapabuti ng seguridad sa mga lugar tulad ng pagpapalakas ng proteksyon ng mga elemento ng imprastraktura (halimbawa, patuloy na pagsasama at proseso ng pamamahagi), pagpapatupad ng mga sistema ng pagpapatunay para sa mga digital na lagda ng mga bahagi ng mga produktong software, dagdagan ang produkto antas (pagsusuri, proteksyon ng sangay, pagsubok sa Fuzzing, proteksyon laban sa mga pag-atake ng dependency).
Sa nakaraang taon, gumawa kami ng isang bilang ng mga pamumuhunan upang mapalakas ang seguridad ng mga kritikal na proyekto ng open source, at inihayag namin kamakailan ang aming $ 10 bilyon na pangako sa pagtatanggol sa cybersecurity, kasama ang $ 100 milyon upang suportahan ang mga pundasyon ng third-party na namamahala sa bukas na seguridad ng mapagkukunan mga priyoridad at makakatulong na ayusin ang mga kahinaan.
Tungkol sa mga halaga ng mga bonus, ibibigay ang mga ito tulad ng sumusunod:
- $ 10,000 o higit pa - Para sa pagpapakilala sa pangmatagalan, makabuluhang, makabuluhan, at kumplikadong mga pagpapahusay na nagpoprotekta laban sa mga seryosong kahinaan sa bukas na proyekto ng code o imprastraktura.
- $ 5000- $ 10000 - para sa mga pag-upgrade ng daluyan ng kahirapan na may positibong epekto sa kaligtasan.
- $ 1000- $ 5000 para sa katamtamang pag-upgrade ng kahirapan upang madagdagan ang kaligtasan.
- $ 505 - para sa maliit na pagpapabuti sa seguridad.
Ngayon, nalulugod kaming ipahayag ang aming pag-sponsor ng Secure Open Source (SOS) pilot program na pinamunuan ng Linux Foundation. Ang programang ito ay pampinansyal na gantimpala sa mga tagabuo para sa pagpapabuti ng seguridad ng mga kritikal na proyektong bukas na mapagkukunan na umaasa kaming lahat. Nagsisimula kami sa isang $ 1 milyon na pamumuhunan at plano upang mapalawak ang maabot ng programa batay sa feedback ng komunidad.
Sa kabilang banda ang OSTIF (Open Source Technology Enhancement Fund), nilikha upang palakasin ang seguridad ng mga open source na proyekto, Inanunsyo ang isang pakikipagsosyo sa Google, na nagpahayag ng kanyang kahandaang pondohan ang isang independiyenteng pag-audit sa seguridad ng 8 na mga proyekto open source.
Sa natanggap na pondo mula sa Google, napagpasyahan na i-audit ang Git, ang library ng Lodash JavaScript, ang balangkas na PHP Laravel, ang balangkas ng Slf4j Java, ang mga aklatan ng Jackson JSON (Jackson-core at Jackson-databind) at ang mga bahagi ng Apache Http (Httpcomponents- core at Httpcomponents).
Papayagan ng suporta ng Google ang OSTIF na ilunsad ang Managed Audit Program (MAP), na magpapalawak ng aming malalim na pagsusuri sa seguridad sa maraming mga proyekto na mahalaga sa bukas na mapagkukunang ecosystem.
Dati, gamit ang natanggap na pondo bilang isang resulta ng koleksyon ng mga donasyon, ang pondo Na-audit na ng OSTIF ang mga proyekto ng OpenSSL, VeraCrypt, OpenVPN, Monero, Unbound DNS at QRL.
Hiwalay, nag-ipon na ang komunidad ng mga tool para sa pag-awdit ng balangkas na PHP Symfony. Sa kaso ng karagdagang pagpopondo para sa pag-audit, pinaplano din ang mga proyekto ng Systemd, Electron, Rails, Drupal, Joomla, WebPack, Reprepro, Ceph, React Native, Salt, Ansible, Angular, Gatsby at Guava.
Nagmamarka ito ng malaking tagumpay sa pag-akit ng malalaking mga donor ng kumpanya upang suportahan ang modelo ng OSTIF ng pagpapabuti ng bukas na mapagkukunan ng software sa pamamagitan ng mga pagsusuri sa seguridad at mga pag-audit ng source code.
Ang pagpipilian ay ginawang empirically batay sa isang pagtatasa ng epekto sa kaligtasan ng proyekto sa open source ecosystem at ang potensyal na benepisyo sa pamayanan sa pamamagitan ng pagtaas ng seguridad ng mga proyekto na isinasaalang-alang. Para sa halos 100 mga proyekto sa GitHub, isang koepisyent ang nakalkula isinasaalang-alang ang mga kadahilanan tulad ng katanyagan ng paggamit bilang dependency, pangangailangan sa imprastraktura, bilang ng mga developer, aktibidad sa pag-unlad, bilang ng mga sarado at hindi saradong mga mensahe ng error, bilang ng mga samahan na sumusuporta sa proyekto, dalas ng mga pag-update, kasaysayan ng pagkilala sa kahinaan, atbp.
Pinagmulan: https://ostif.org/, https://security.googleblog.com/