几天前s 谷歌推出安全开源计划 (求救),什么 为与加强关键开源软件相关的工作提供奖金 并且已为其分配了 XNUMX 万美元用于第一笔付款,但如果该计划被确认为成功,则对该项目的投资将继续进行。
仅接受已接受更改的补偿请求 在项目中 根据 OpenSSF 临界分数,临界级别至少为 0.6 或包含在需要特殊安全控制的项目列表中。
拟议变更的性质应与加强基础设施元素保护(例如,持续集成和分发流程)、实施软件产品组件数字签名验证系统、增加产品级别(审查、分支保护、模糊测试、防止依赖攻击)。
在过去的一年中,我们进行了多项投资以加强关键开源项目的安全性,最近我们宣布了 10 亿美元用于网络安全防御的承诺,其中 100 亿美元用于支持管理开源安全的第三方基金会优先事项并帮助修复漏洞。
关于奖金数额,这些将发布如下:
- 10,000 美元或更多 - 用于引入复杂、重要和相关的长期增强功能,以防止开放项目代码或基础设施中的严重漏洞。
- $ 5000- $ 10000 - 用于对安全有积极影响的中等难度升级。
- $ 1000- $ 5000 中等难度升级以增加安全性。
- 505 美元 - 用于小的安全改进。
今天,我们很高兴地宣布赞助由 Linux 基金会领导的安全开源 (SOS) 试点计划。 该计划在经济上奖励开发人员,以改善我们都依赖的关键开源项目的安全性。 我们开始投资 1 万美元,并计划根据社区反馈扩大该计划的范围。
而且 OSTIF (开源技术增强基金),旨在加强开源项目的安全性, 宣布与谷歌合作,谷歌表示愿意资助对 8 个项目的独立安全审计 开源。
使用从 Google 收到的资金,决定审计 Git、Lodash JavaScript 库、PHP Laravel 框架、Slf4j Java 框架、Jackson JSON 库(Jackson-core 和 Jackson-databind)和 Apache Http 组件(Httpcomponents-核心和 Httpcomponents)。
Google 的支持将使 OSTIF 能够启动托管审计计划 (MAP),这将我们深入的安全审查扩展到更多对开源生态系统至关重要的项目。
此前,该基金使用因募捐而收到的资金 OSTIF 已经审核了 OpenSSL、VeraCrypt、OpenVPN、Monero、Unbound 项目 DNS 和 QRL。
另外,社区已经编译了用于审核 PHP Symfony 框架的工具。 如果为审计提供额外资金,Systemd、Electron、Rails、Drupal、Joomla、WebPack、Reprepro、Ceph、React Native、Salt、Ansible、Angular、Gatsby 和 Guava 项目也在计划中。
这标志着在吸引大型企业捐助者支持 OSTIF 通过安全审查和源代码审计改进开源软件的模式方面取得了巨大成功。
该选择是根据安全影响评估凭经验做出的 项目在开源生态系统中的重要性,以及通过提高所考虑项目的安全性为社区带来的潜在利益。 对于 GitHub 上大约 100 个项目,计算了一个系数 考虑到诸如作为依赖项使用的流行度等因素, 基础设施需求、开发人员数量、开发活动、关闭和非关闭错误消息的数量、支持项目的组织数量、更新频率、漏洞识别历史等。
来源: https://ostif.org/, https://security.googleblog.com/