Google hat die Initiative Secure Open Source (SOS) ins Leben gerufen, um PrĂ€mien fĂŒr die Verbesserung der Sicherheit von kritischen Open-Source-Anwendungen zu verleihen. FĂŒr die ersten PrĂ€mien wurden eine Million Dollar bereitgestellt, und sollten sich die BemĂŒhungen als erfolgreich erweisen, wird die Investition in das Projekt fortgesetzt.
Folgende PrÀmien sind vorgesehen:
- 10.000 $ und mehr â fĂŒr komplexe, langfristig bedeutende Verbesserungen, die Schutz vor schwerwiegenden SicherheitsanfĂ€lligkeiten im Code oder in der Infrastruktur von Open-Source-Projekten bieten.
- 5.000â10.000 $ â fĂŒr Verbesserungen mittlerer KomplexitĂ€t, die sich positiv auf die Sicherheit auswirken.
- 1.000â5.000 $ fĂŒr Verbesserungen moderater KomplexitĂ€t, die die Sicherheit erhöhen.
- 505 $ â fĂŒr kleinere Verbesserungen, die die Sicherheit erhöhen.
AntrĂ€ge auf PrĂ€mien werden nur fĂŒr Ănderungen angenommen, die in Projekte mit einer KritikalitĂ€t von mindestens 0,6 gemÀà dem OpenSSF Criticality Score aufgenommen wurden oder auf der Liste der Projekte stehen, die eine besondere SicherheitsprĂŒfung erfordern. Die Art der vorgeschlagenen Ănderungen muss sich auf die Verbesserung der Sicherheit in Bereichen wie der StĂ€rkung des Schutzes von Infrastrukturelementen (z. B. Continuous Integration- und Release Distribution-Prozesse), die Implementierung von Verifikationssystemen durch digitale Signaturen von Softwarekomponenten, die Erhöhung des Produktniveaus (Code-Reviews, Branchenschutz, Fuzzing-Tests, Schutz vor Angriffe ĂŒber AbhĂ€ngigkeiten) beziehen.
Quelle: opennet.ru
