Google heeft het Secure Open Source (SOS)-initiatief onthuld, dat beloningen zal uitreiken voor werk dat verband houdt met het verbeteren van de beveiliging van cruciale open source-software. Er is een miljoen dollar uitgetrokken voor de eerste betalingen, maar als het initiatief als succesvol wordt beschouwd, zullen de investeringen in het project worden voortgezet.
De volgende onderscheidingen worden toegekend:
- $10000 of meer om complexe langetermijnverbeteringen met grote impact aan te brengen die bescherming bieden tegen ernstige kwetsbaarheden in de code of infrastructuur van open source-projecten.
- $5000-$10000 – voor verbeteringen van gemiddelde complexiteit die een positieve impact hebben op de beveiliging.
- $1000-$5000 voor gematigde beveiligingsupgrades.
- $ 505 – voor kleine beveiligingsverbeteringen.
Beloningsaanvragen worden alleen geaccepteerd voor wijzigingen die zijn geaccepteerd in projecten met een kriticiteitsniveau van ten minste 0.6 volgens de OpenSSF Critical Score-beoordeling of zijn opgenomen in de lijst met projecten die een speciale beveiligingsbeoordeling vereisen. De aard van de voorgestelde veranderingen moet verband houden met het verbeteren van de veiligheid op gebieden als het versterken van de bescherming van infrastructuurelementen (bijvoorbeeld processen van continue integratie en distributie van releases), het introduceren van verificatiesystemen gebaseerd op digitale handtekeningen van softwareproductcomponenten, het vergroten van de niveau van het product (beoordeling, branchebescherming, fuzzing-testen, bescherming tegen afhankelijkheidsaanvallen).
Bron: opennet.ru