Google宣布贊助由Linux基金會管理的安全開源(SOS)試點計劃,該計劃對加強關鍵開源項目安全的開發者給予財務上的獎勵。Google初期向該計劃投資100萬美元,並計劃根據社區反饋擴大該計劃的範圍。
SOS獎勵廣泛的改進措施,主動加強關鍵開源項目和支持基礎設施,以應對針對應用程序和供應鏈的攻擊。為了補充現有的獎勵漏洞管理的計劃,還會直接支持項目開發者。
提交的材料將被評估,考慮到行業標準和技術研究所定義的指導方針,以及其他標準,包括:
有多少和哪些類型的用戶將受到安全改進的影響?
改進措施是否會對基礎設施和用戶安全產生重大影響?
如果該項目被破壞,其影響有多嚴重或廣泛?
該項目最初的重點是軟件供應鏈的安全改進,採用軟件工件的簽名和驗證,以及產生更高的OpenSSF記分卡結果的改進。
獎勵範圍從10000美元以上的複雜、高影響和持久的改進,幾乎可以肯定地防止受影響的代碼或支持的基礎設施中的重大漏洞,到500美元的小改進,但至少從安全的角度來看需要有好處。
SOS試點項目被視為未來努力的起點,希望能將其他大型組織聚集在一起,並在OpenSSF下將其變成一個可持續的、長期的倡議。
您可以在這裡找到更多關於該計劃的信息:
https://sos.dev/