幾天前s 谷歌推出安全開源計劃 (求救),什麼 為與加強關鍵開源軟件相關的工作提供獎金 並且已為其分配了 XNUMX 萬美元用於第一筆付款,但如果該計劃被確認為成功,則對該項目的投資將繼續進行。
僅接受已接受更改的報酬請求 在項目中 根據 OpenSSF 臨界分數,臨界級別至少為 0.6 或包含在需要特殊安全控制的項目列表中。
擬議變更的性質應與加強基礎設施元素保護(例如,持續集成和分發流程)、實施軟件產品組件數字簽名驗證系統、增加產品級別(審查、分支保護、模糊測試、防止依賴攻擊)。
在過去的一年中,我們進行了多項投資以加強關鍵開源項目的安全性,最近我們宣布了 10 億美元用於網絡安全防禦的承諾,其中 100 億美元用於支持管理開源安全的第三方基金會優先事項並幫助修復漏洞。
關於獎金數額,這些將發佈如下:
- 10,000 美元或更多 - 用於引入長期、重要、重要和復雜的增強功能,以防止開放項目代碼或基礎設施中的嚴重漏洞。
- $ 5000- $ 10000 - 用於對安全有積極影響的中等難度升級。
- $ 1000- $ 5000 中等難度升級以增加安全性。
- 505 美元 - 用於小的安全改進。
今天,我們很高興地宣布贊助由 Linux 基金會領導的安全開源 (SOS) 試點計劃。 該計劃在經濟上獎勵開發人員提高我們都依賴的關鍵開源項目的安全性。 我們開始投資 1 萬美元,併計劃根據社區反饋擴大該計劃的範圍。
另一方面 OSTIF (開源技術增強基金),旨在加強開源項目的安全性, 宣布與穀歌建立合作夥伴關係,谷歌表示願意資助對 8 個項目的獨立安全審計 開源。
使用從 Google 收到的資金,決定審計 Git、Lodash JavaScript 庫、PHP Laravel 框架、Slf4j Java 框架、Jackson JSON 庫(Jackson-core 和 Jackson-databind)和 Apache Http 組件(Httpcomponents-核心和 Httpcomponents)。
Google 的支持將使 OSTIF 能夠啟動託管審計計劃 (MAP),這將我們深入的安全審查擴展到更多對開源生態系統至關重要的項目。
此前,該基金使用因募捐而收到的資金 OSTIF 已經審核了 OpenSSL、VeraCrypt、OpenVPN、Monero、Unbound 項目 DNS 和 QRL。
另外,社區已經編譯了用於審核 PHP Symfony 框架的工具。 如果為審計提供額外資金,Systemd、Electron、Rails、Drupal、Joomla、WebPack、Reprepro、Ceph、React Native、Salt、Ansible、Angular、Gatsby 和 Guava 項目也在計劃中。
這標誌著在吸引大型企業捐助者支持 OSTIF 通過安全審查和源代碼審計改進開源軟件的模式方面取得了巨大成功。
該選擇是根據安全影響評估憑經驗做出的 項目在開源生態系統中的重要性,以及通過提高所考慮項目的安全性為社區帶來的潛在利益。 對於 GitHub 上大約 100 個項目,計算了一個係數 考慮到諸如作為依賴項使用的流行度等因素, 基礎設施需求、開發人員數量、開發活動、關閉和非關閉錯誤消息的數量、支持項目的組織數量、更新頻率、漏洞識別歷史等。
富恩特斯: https://ostif.org/, https://security.googleblog.com/