Google a anunțat în urmă cu două zile o sponsorizare de 1 milion de dolari pentru un nou program pilot care vizează îmbunătățirea securității proiectelor open source critice.
Denumit Secure Open Source (SOS), programul va fi rulat de Linux Foundation cu sponsorizarea inițială de la Google Open Source Security Team (GOSST).
Prin intermediul programului, Google își propune să ofere sponsorizări întreținătorilor de proiecte, astfel încât să poată finanța planuri și soluții pentru a îmbunătăți poziția de securitate a codului lor.
Proiectele cu penetrare mare în industrii și care joacă un rol crucial în ecosistemul programelor vor fi prioritare în primirea fondurilor. SOS se va concentra inițial pe proiecte de întărire împotriva atacurilor de aplicații și lanțului de aprovizionare, au declarat Google și Linux Foundation într-un comunicat de presă.
Conform site-ului oficial al proiectului, evaluatorii SOS vor căuta soluții pentru probleme precum?
- Îmbunătățiri ale securității lanțului de aprovizionare cu programe, inclusiv consolidarea conductelor CI/CD și a infrastructurii de distribuție.
- Adoptarea semnării și verificării artefactelor programelor.
- Îmbunătățiri ale proiectelor care produc rezultate mai mari decât arată OpenSSF Scorecard.
- Utilizarea OpenSSF Allstar și remedierea problemelor descoperite.
- Câștigarea unei insigne CII de bune practici.
Valoarea sponsorizărilor va fi determinată pe baza complexității și a impactului soluțiilor propuse:
- 10.000 $ sau mai mult pentru îmbunătățiri complicate, cu impact ridicat și de durată, care previn aproape sigur vulnerabilități majore în codul afectat sau în infrastructura de suport.
- 5.000 $ – 10.000 $ pentru îmbunătățiri moderat de complex, care oferă beneficii de securitate convingătoare.
- 1.000 $ – 5.000 $ pentru depuneri de complexitate și impact modest.
- 505 $ pentru mici îmbunătățiri care totuși au merit din punct de vedere al securității.
Această investiție de 1 milion de dolari este doar începutul – ne gândim la programul pilot SOS ca punct de plecare pentru viitoarele eforturi care, sperăm, vor reuni alte organizații mari și îl vor transforma într-o inițiativă durabilă, pe termen lung, în cadrul OpenSSF.
a declarat Google.