Google hat die Secure Open Source (SOS)-Initiative vorgestellt, die Belohnungen für die Arbeit im Zusammenhang mit der Verbesserung der Sicherheit kritischer Open-Source-Software bereitstellt. Für die ersten Zahlungen wurde eine Million Dollar bereitgestellt, aber wenn die Initiative als erfolgreich angesehen wird, werden die Investitionen in das Projekt fortgesetzt.
Folgende Auszeichnungen werden vergeben:
- 10000 US-Dollar oder mehr für komplexe, wirkungsvolle und langfristige Verbesserungen, die vor schwerwiegenden Schwachstellen im Code oder in der Infrastruktur von Open-Source-Projekten schützen.
- 5000–10000 US-Dollar – für Verbesserungen mittlerer Komplexität, die sich positiv auf die Sicherheit auswirken.
- 1000 bis 5000 US-Dollar für moderate Sicherheitsupgrades.
- 505 $ – für kleinere Sicherheitsverbesserungen.
Prämienanträge werden nur für Änderungen angenommen, die in Projekten angenommen wurden, deren Kritikalitätsstufe gemäß OpenSSF Critical Score mindestens 0.6 beträgt oder die in der Liste der Projekte enthalten sind, die einer besonderen Sicherheitsüberprüfung bedürfen. Die Art der vorgeschlagenen Änderungen sollte sich auf die Verbesserung der Sicherheit in Bereichen wie der Stärkung des Schutzes von Infrastrukturelementen (z. B. Prozesse der kontinuierlichen Integration und Verteilung von Releases), der Einführung von Verifizierungssystemen auf der Grundlage digitaler Signaturen von Softwareproduktkomponenten und der Erhöhung der Sicherheit beziehen Ebene des Produkts (Überprüfung, Zweigschutz, Fuzzing-Tests, Schutz vor Abhängigkeitsangriffen).
Source: opennet.ru