Google ha presentato l'iniziativa Secure Open Source (SOS), che fornirà ricompense per il lavoro relativo al miglioramento della sicurezza del software open source critico. Per i primi pagamenti è stato stanziato un milione di dollari, ma se l'iniziativa verrà ritenuta vincente gli investimenti nel progetto proseguiranno.
Sono previsti i seguenti premi:
- $ 10000 o più per apportare miglioramenti complessi, di grande impatto e a lungo termine che proteggano da gravi vulnerabilità nel codice o nell'infrastruttura dei progetti open source.
- $ 5000-$ 10000 – per miglioramenti di media complessità che hanno un impatto positivo sulla sicurezza.
- $ 1000-$ 5000 per aggiornamenti di sicurezza moderati.
- $ 505 – per piccoli miglioramenti alla sicurezza.
Le richieste di premio saranno accettate solo per le modifiche accettate in progetti con un livello di criticità di almeno 0.6 secondo il punteggio critico di OpenSSF o inclusi nell'elenco dei progetti che richiedono una speciale revisione della sicurezza. La natura delle modifiche proposte dovrebbe essere correlata al miglioramento della sicurezza in aree quali il rafforzamento della protezione degli elementi infrastrutturali (ad esempio, processi di integrazione continua e distribuzione delle versioni), l'introduzione di sistemi di verifica basati su firme digitali dei componenti dei prodotti software, l'aumento della livello del prodotto (revisione, protezione dei rami, test fuzzing, protezione contro attacchi alle dipendenze).
Fonte: opennet.ru