Google выделит $1 млн на безопасность ПО с открытым исходным кодом
Google объявила о запуске новой пилотной программы финансирования, в рамках которой компания выделит $1 млн на усиление безопасности критических проектов с открытым исходным кодом. Управлять программой Secure Open Source (SOS) будет Linux Foundation, тогда как деньги выделит Google Open Source Security Team (GOSST).
Через программу Google планирует спонсировать разработчиков проектов, чтобы они могли вкладывать средства в решения для усиления безопасности своего кода. В первую очередь финансирование получат проекты, широко использующиеся во многих отраслях и играющие в экосистеме ПО ключевую роль.
Первостепенной задачей SOS будет обеспечение защиты проектов от атак на приложения и цепочку поставок.
Как сообщается на официальном сайте инициативы, комиссию SOS будут интересовать решения для выполнения таких задач как:
-Усиление безопасности цепочки поставок ПО, включая CI/CD и дистрибуционную инфраструктуру;
-Использование подписи и верификации программных артефактов;
-Повышение результатов тестирования проектов с помощью инструмента для оценки рисков безопасности репозиториев кода и зависимостей OpenSSF Scorecard;
-Использование OpenSSF Allstar и исправлений для обнаруженных проблем безопасности;
-Получение значка CII Best Practice Badge ("Передовая практика CII").
Размер спонсорской помощи будет определяться на основе того, насколько сложным является проект и какое влияние окажут предложенные решения.
$10 тыс. и более получат сложные продолжительные улучшения, оказывающие большое влияние на безопасность проектов и устраняющие главные уязвимости в коде и поддерживающей инфраструктуре.
$5-10 тыс. будет выделено на улучшения средней сложности, обеспечивающие убедительные преимущества безопасности.
$1-5 тыс. проекты получат за улучшения средних сложности и влияния.
$505 будет выделено на небольшие улучшения, которые все же имеют значение для усиления безопасности.
"$1 млн - это только начало. Мы рассматриваем пилотную программу SOS как стартовую площадку для будущих мероприятий, которые, мы надеемся, объединят другие крупные организации и перерастут в стабильную долгосрочную инициативу под крылом OpenSSF", - сообщила Google.
Open Source Security Foundation (OpenSSF) - межотраслевой форум для совместных усилий по повышению безопасности ПО с открытым исходным кодом. В список членов правления-учредителей входят GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, OWASP Foundation и Red Hat.