Google a dévoilé l'initiative Secure Open Source (SOS), qui récompensera les travaux liés à l'amélioration de la sécurité des logiciels open source critiques. Un million de dollars a été alloué pour les premiers paiements, mais si l'initiative est considérée comme réussie, l'investissement dans le projet se poursuivra.
Les récompenses suivantes sont décernées :
- 10000 XNUMX $ ou plus pour apporter des améliorations complexes, à fort impact et à long terme, qui protègent contre les vulnérabilités graves du code ou de l'infrastructure des projets open source.
- 5000 10000 $ à XNUMX XNUMX $ – pour des améliorations de complexité moyenne qui ont un impact positif sur la sécurité.
- 1000 5000 à XNUMX XNUMX $ pour des mises à niveau de sécurité modérées.
- 505 $ – pour des améliorations mineures de la sécurité.
Les demandes de récompense ne seront acceptées que pour les modifications acceptées dans les projets avec un niveau de criticité d'au moins 0.6 selon la note OpenSSF Critical Score ou incluses dans la liste des projets nécessitant un examen de sécurité spécial. La nature des changements proposés devrait être liée à l'amélioration de la sécurité dans des domaines tels que le renforcement de la protection des éléments d'infrastructure (par exemple, les processus d'intégration et de distribution continues des versions), l'introduction de systèmes de vérification basés sur les signatures numériques des composants de produits logiciels, l'augmentation de la niveau du produit (revue, protection des branches, tests de fuzzing, protection contre les attaques de dépendances).
Source: opennet.ru