Google ogłosiło inicjatywę Secure Open Source (SOS), w ramach której nagradzane będą prace związane ze zwiększaniem bezpieczeństwa krytycznego oprogramowania typu open source. Na pierwsze płatności przeznaczono milion dolarów, ale jeśli inicjatywa zostanie uznana za sukces, inwestycja w projekt będzie kontynuowana.
Przewidziane są następujące nagrody:
- 10000 XNUMX dolarów lub więcej na wprowadzenie złożonych, skutecznych i długoterminowych ulepszeń, które chronią przed poważnymi lukami w kodzie lub infrastrukturze projektów open source.
- 5000 10000–XNUMX XNUMX USD – za ulepszenia o średniej złożoności, które mają pozytywny wpływ na bezpieczeństwo.
- 1000–5000 USD za umiarkowane ulepszenia zabezpieczeń.
- 505 dolarów – za drobne ulepszenia bezpieczeństwa.
Wnioski o nagrodę będą akceptowane wyłącznie w przypadku zmian przyjętych w projektach o poziomie krytyczności co najmniej 0.6 zgodnie z oceną OpenSSF Critical Score lub znajdujących się na liście projektów wymagających specjalnej kontroli bezpieczeństwa. Charakter proponowanych zmian powinien wiązać się z poprawą bezpieczeństwa w takich obszarach jak wzmocnienie ochrony elementów infrastruktury (np. procesów ciągłej integracji i dystrybucji wydań), wprowadzenie systemów weryfikacji opartych na podpisach cyfrowych komponentów oprogramowania, zwiększenie poziom produktu (recenzowanie, ochrona gałęzi, testowanie fuzzingowe, ochrona przed atakami zależności).
Źródło: opennet.ru