Birkaç gün önceGoogle, Güvenli Açık Kaynak girişimini açıkladı (SOS), ne kritik açık kaynaklı yazılımların güçlendirilmesiyle ilgili çalışmalar için ikramiye sağlamak ve ilk ödemeler için bir milyon dolar tahsis edilen, ancak girişimin başarılı olması durumunda projeye yatırım devam edecek.
Ücret talepleri yalnızca kabul edilen değişiklikler için kabul edilir projelerde OpenSSF Kritik Puanına göre en az 0.6 kritiklik düzeyine sahip veya özel güvenlik kontrolleri gerektiren projeler listesine dahil edilmiştir.
Önerilen değişikliklerin doğası, altyapı öğelerinin korunmasının güçlendirilmesi (örneğin, sürekli entegrasyon ve dağıtım süreçleri), yazılım ürünlerinin bileşenlerinin dijital imzaları için doğrulama sistemlerinin uygulanması, ürünün arttırılması gibi alanlarda güvenliğin iyileştirilmesi ile ilgili olmalıdır. seviye (inceleme, şube koruması, Fuzzing testi, bağımlılık saldırılarına karşı koruma).
Geçen yıl boyunca, kritik açık kaynak projelerinin güvenliğini güçlendirmek için bir dizi yatırım yaptık ve yakın zamanda, açık kaynak güvenliğini yöneten üçüncü taraf vakıfları desteklemek için 10 milyon doları da dahil olmak üzere, siber güvenlik savunmasına 100 milyar dolarlık taahhüdümüzü duyurduk. öncelikler ve güvenlik açıklarının düzeltilmesine yardımcı olur.
Bonus miktarları ile ilgili olarak, bunlar aşağıdaki gibi verilecektir:
- 10,000 ABD Doları veya daha fazla - Açık proje kodu veya altyapısındaki ciddi güvenlik açıklarına karşı koruma sağlayan uzun vadeli, önemli, önemli ve karmaşık geliştirmeler sunmak için.
- 5000 $ - 10000 $ - güvenlik üzerinde olumlu etkisi olan orta zorluktaki yükseltmeler için.
- Güvenliği artırmak için orta zorlukta yükseltmeler için 1000 $ - 5000 $.
- 505 $ - küçük güvenlik iyileştirmeleri için.
Bugün, Linux Vakfı tarafından yönetilen Güvenli Açık Kaynak (SOS) pilot programına sponsorluğumuzu duyurmaktan mutluluk duyuyoruz. Bu program, geliştiricileri, hepimizin bağımlı olduğu kritik açık kaynak projelerinin güvenliğini artırdıkları için finansal olarak ödüllendirir. 1 milyon dolarlık bir yatırımla başlıyoruz ve topluluğun geri bildirimlerine dayanarak programın erişimini genişletmeyi planlıyoruz.
Dahası OSTIF (Açık Kaynak Teknoloji Geliştirme Fonu), açık kaynak projelerinin güvenliğini güçlendirmek için oluşturulmuş, 8 projenin bağımsız bir güvenlik denetimini finanse etme isteğini ifade eden Google ile bir ortaklık duyurdu açık kaynak.
Google'dan alınan fonlarla Git'in, Lodash JavaScript kitaplığının, PHP Laravel çerçevesinin, Slf4j Java çerçevesinin, Jackson JSON kitaplıklarının (Jackson-core ve Jackson-databind) ve Apache Http bileşenlerinin (Httpcomponents-) denetlenmesine karar verildi. çekirdek ve Http bileşenleri).
Google'ın desteği, OSTIF'in, derinlemesine güvenlik incelemelerimizi açık kaynak ekosistemi için hayati önem taşıyan daha fazla projeye genişletecek olan Yönetilen Denetim Programını (MAP) başlatmasına olanak tanıyacak.
Daha önce, bağışların toplanması sonucu elde edilen fonlar kullanılarak fon, OSTIF, OpenSSL, VeraCrypt, OpenVPN, Monero, Unbound projelerini zaten denetlemiştir. DNS ve QRL.
Ayrı olarak, topluluk zaten PHP Symfony çerçevesini denetlemek için araçlar derlemiştir. Denetim için ek fon sağlanması durumunda Systemd, Electron, Rails, Drupal, Joomla, WebPack, Reprepro, Ceph, React Native, Salt, Ansible, Angular, Gatsby ve Guava projeleri de planlanıyor.
Bu, güvenlik incelemeleri ve kaynak kodu denetimleri yoluyla OSTIF'in açık kaynak yazılımını geliştirme modelini desteklemek için büyük kurumsal bağışçıları çekmede büyük başarıyı işaret ediyor.
Seçim, bir güvenlik etki değerlendirmesine dayalı olarak ampirik olarak yapılmıştır. projenin açık kaynak ekosisteminde yer alması ve ele alınan projelerin güvenliğini artırarak topluma potansiyel fayda sağlaması. GitHub'da yaklaşık 100 proje için bir katsayı hesaplandı bağımlılık olarak kullanımın popülaritesi gibi faktörleri dikkate alarak, altyapı talebi, geliştirici sayısı, geliştirme etkinliği, kapatılan ve kapatılmayan hata mesajı sayısı, projeyi destekleyen kuruluş sayısı, güncelleme sıklığı, güvenlik açığı tanımlama geçmişi vb.
kaynaklar: https://ostif.org/, https://security.googleblog.com/