Der OSTIF (Open Source Technology Improvement Fund), der gegründet wurde, um die Sicherheit offener Projekte zu stärken, hat eine Zusammenarbeit mit Google bekanntgegeben. Google hat seine Bereitschaft erklärt, die Durchführung eines unabhängigen Sicherheitsaudits für acht Open-Source-Projekte zu finanzieren. Die bereitgestellten Mittel von Google werden verwendet, um Audits für Git, die JavaScript-Bibliothek Lodash, das PHP-Framework Laravel, das Java-Framework Slf4j, die JSON-Bibliotheken Jackson (Jackson-core und Jackson-databind) und die Java-Komponenten von Apache Httpcomponents (Httpcomponents-core und Httpcomponents-client) durchzuführen.
Früher hat der OSTIF bereits Audits für die Projekte OpenSSL, VeraCrypt, OpenVPN, Monero, Unbound DNS und QRL mit den durch Spenden gesammelten Mitteln durchgeführt. Darüber hinaus hat die Gemeinschaft bereits Mittel für ein Audit des PHP-Frameworks Symfony gesammelt. Bei Erhalt zusätzlicher Mittel für Audits sind auch Projekte wie Systemd, Electron, Rails, Drupal, Joomla, WebPack, Reprepro, Ceph, React Native, Salt, Ansible, Angular, Gatsby und Guava eingeplant.
Die Auswahl erfolgte empirisch, basierend auf der Bewertung der Sicherheitsauswirkungen von Projekten auf das Ökosystem der Open-Source-Software und dem potenziellen Nutzen für die Gemeinschaft durch die Erhöhung der Sicherheit der betrachteten Projekte. Für etwa 100.000 Projekte auf GitHub wurde ein Index berechnet, der Faktoren wie die Beliebtheit als Abhängigkeit, die Nachfrage in Infrastrukturen, die Anzahl der Entwickler, die Entwicklungstätigkeit, die Anzahl der offenen und geschlossenen Fehlerberichte, die Zahl unterstützender Organisationen, die Häufigkeit von Updates, die Geschichte von Sicherheitsanfälligkeiten usw. berücksichtigt.
Quelle: opennet.ru
