Кілька днів томуs Google представила ініціативу Secure Open Source (SOS), що надати бонуси за роботу, пов'язану зі зміцненням критичного програмного забезпечення з відкритим кодом і на які було виділено мільйон доларів на перші виплати, але якщо ініціативу визнають успішною, інвестиції в проект продовжуватимуться.
Запити на винагороду приймаються лише за прийняті зміни в проектах з рівнем критичності щонайменше 0.6 відповідно до критичної оцінки OpenSSF або включені до переліку проектів, які потребують спеціального контролю безпеки.
Характер запропонованих змін має бути пов'язаний із покращенням безпеки в таких сферах, як посилення захисту елементів інфраструктури (наприклад, безперервна інтеграція та процеси розповсюдження), впровадження систем перевірки цифрових підписів компонентів програмних продуктів, збільшення продукту рівень (огляд, захист філій, тестування фази, захист від атак залежностей).
За останній рік ми зробили ряд інвестицій для посилення безпеки найважливіших проектів з відкритим кодом, і нещодавно ми оголосили про зобов’язання у 10 мільярдів доларів США щодо захисту кібербезпеки, у тому числі 100 мільйонів доларів на підтримку сторонніх фондів, які керують безпекою відкритого коду. пріоритети та допоможуть усунути вразливі місця.
Щодо розмірів бонусів, вони видаватимуться наступним чином:
- 10,000 XNUMX доларів або більше - для впровадження довгострокових, значних, значних і складних удосконалень, які захищають від серйозних вразливостей у відкритому коді проекту або інфраструктурі.
- $ 5000 - $ 10000 XNUMX - для покращення середньої складності, що позитивно впливає на безпеку.
- $ 1000- $ 5000 за оновлення середньої складності для підвищення безпеки.
- $ 505 - за невеликі покращення безпеки.
Сьогодні ми раді оголосити про наше спонсорство пілотної програми Secure Open Source (SOS) під керівництвом Linux Foundation. Ця програма фінансово винагороджує розробників за покращення безпеки критичних проектів з відкритим кодом, від яких ми всі залежимо. Ми починаємо з інвестицій у розмірі 1 мільйона доларів та плануємо розширити охоплення програми на основі відгуків громадськості.
З іншого боку OSTIF (Фонд підвищення технології з відкритим вихідним кодом), створений для посилення безпеки проектів з відкритим кодом, оголосила про партнерство з Google, яка висловила готовність фінансувати незалежний аудит безпеки 8 проектів відкрите джерело.
За кошти, отримані від Google, було вирішено перевірити Git, бібліотеку JavaScript Lodash, фреймворк PHP Laravel, фреймворк Java Slf4j, бібліотеки JSON Джексона (Джексон-ядро та Джексон-прив'язка даних) та компоненти Apache Http (компоненти Http- ядро та компоненти Http).
Підтримка Google дозволить OSTIF запустити програму керованого аудиту (MAP), яка розширить наші поглиблені перевірки безпеки на більшість проектів, життєво важливих для екосистеми з відкритим кодом.
Раніше, використовуючи кошти, отримані в результаті збору пожертв, фонд OSTIF вже перевіряв проекти OpenSSL, VeraCrypt, OpenVPN, Monero, Unbound DNS і QRL.
Окремо спільнота вже зібрала інструменти для аудиту фреймворка PHP Symfony. У разі додаткового фінансування аудиту також плануються проекти Systemd, Electron, Rails, Drupal, Joomla, WebPack, Reprepro, Ceph, React Native, Salt, Ansible, Angular, Gatsby та Guava.
Це значний успіх у залученні великих корпоративних донорів для підтримки моделі вдосконалення програмного забезпечення з відкритим кодом OSTIF шляхом перевірки безпеки та аудиту вихідного коду.
Вибір був зроблений емпірично на основі оцінки впливу на безпеку проекту в екосистемі з відкритим кодом та потенційну користь для громади за рахунок підвищення безпеки проектів, що розглядаються. Для приблизно 100 XNUMX проектів на GitHub був розрахований коефіцієнт беручи до уваги такі фактори, як популярність використання як залежності, попит на інфраструктуру, кількість розробників, діяльність з розробки, кількість закритих та незакритих повідомлень про помилки, кількість організацій, що підтримують проект, частота оновлень, історія виявлення вразливості тощо.
Fuentes: https://ostif.org/, https://security.googleblog.com/