Presentamos el programa piloto de código abierto seguro


Durante el año pasado, hemos realizado una serie de inversiones para fortalecer la seguridad de proyectos críticos de código abierto, y recientemente anunciamos nuestra Compromiso de $ 10 mil millones para la defensa de la ciberseguridad incluidos $ 100 millones para respaldar fundaciones de terceros que administran las prioridades de seguridad de código abierto y ayudan a solucionar vulnerabilidades.

Hoy, nos complace anunciar nuestro patrocinio para el Programa piloto Protected Open up Supply (SOS) dirigido por la Fundación Linux. Este programa recompensa financieramente a los desarrolladores por mejorar la seguridad de proyectos críticos de código abierto de los que todos dependemos. Estamos comenzando con una inversión de $ 1 millón y planeamos expandir el alcance del programa en base a los comentarios de la comunidad.

¿Por qué SOS?

SOS recompensa una amplia gama de mejoras que fortalecen de manera proactiva los proyectos críticos de código abierto y la infraestructura de soporte contra los ataques a las aplicaciones y la cadena de suministro. Para complementar los programas existentes que recompensan la gestión de vulnerabilidades, el alcance de SOS es comparativamente más amplio en el tipo de trabajo que recompensa, con el fin de apoyar a los desarrolladores de proyectos.

¿Qué proyectos están dentro del alcance?

Dado que no existe una definición única de lo que hace que un proyecto de código abierto sea crítico, nuestro proceso de selección será holístico. Durante la evaluación de la presentación, consideraremos las pautas establecidas por el Definición del Instituto Nacional de Estándares y Tecnología en respuesta a la reciente Orden ejecutiva sobre ciberseguridad junto con los criterios que se enumeran a continuación:

  • El impacto del proyecto:
    • ¿Cuántos y qué tipos de usuarios se verán afectados por las mejoras de seguridad?
    • ¿Tendrán las mejoras un impacto significativo en la infraestructura y la seguridad de los usuarios?
    • Si el proyecto estuviera comprometido, ¿qué tan serias o de amplio alcance serían las implicaciones?
  • Clasificación del proyecto en la investigación de criticidad de código abierto existente:

¿Qué mejoras de seguridad califican?

El programa se centra inicialmente en recompensar el siguiente trabajo:

  • Mejoras en la seguridad de la cadena de suministro de program, incluido el fortalecimiento de las canalizaciones de CI / CD y la infraestructura de distribución. los Marco SLSA sugiere requisitos específicos a considerar, como la generación y verificación de procedencia básica.
  • Adopción de firma y verificación de artefactos de application. Una opción a considerar es el conjunto de utilidades de Sigstore (p. Ej. cosignar).
  • Proyecto de mejoras que producen mayor Cuadro de mando OpenSSF resultados. Por ejemplo, un colaborador puede seguir las sugerencias de corrección para las siguientes comprobaciones del cuadro de mando:
    • Revisión de código
    • Protección de rama
    • Dependencias fijadas
    • Herramienta de actualización de dependencias
    • Fuzzing
  • Uso de OpenSSF Allstar y solución de problemas descubiertos.
  • Ganar un Insignia de mejores prácticas de CII (que también mejora los resultados del cuadro de mando).

Continuaremos agregando a la lista anterior, así que revise nuestro Preguntas más frecuentes para actualizaciones. También puede enviar mejoras no enumeradas anteriormente, si proporciona una justificación y evidencia para ayudarnos a comprender la complejidad y el impacto del trabajo.

Solo el trabajo completado después del 1 de octubre de 2021 califica para las recompensas SOS.

La financiación inicial está disponible de forma limitada, caso por caso, para lograr mejoras impactantes de complejidad moderada a alta durante un período de tiempo más largo. Dichas solicitudes deben explicar por qué se requiere financiación por adelantado y proporcionar un plan detallado de cómo se llevarán a cabo las mejoras.

Como participar

Revise nuestro Preguntas más frecuentes y completar esta forma para enviar su solicitud.

Incluya tantos datos o evidencia de respaldo como sea posible para ayudarnos a evaluar la importancia del proyecto y sus mejoras.

Cantidades de recompensa

Los montos de las recompensas se determinan en función de la complejidad y el impacto del trabajo:

  • $ 10,000 o más para mejoras complicadas, de alto impacto y duraderas que casi con certeza previenen vulnerabilidades importantes en el código afectado o la infraestructura de soporte.
  • $ 5,000- $ 10,000 para mejoras moderadamente complejas que ofrecen atractivos beneficios de seguridad.
  • $ 1,000- $ 5,000 para presentaciones de modesta complejidad e impacto.
  • $ 505 por pequeñas mejoras que, sin embargo, tienen mérito desde el punto de vista de la seguridad.


Mirando hacia el futuro

El programa SOS es parte de un esfuerzo más amplio para abordar una verdad cada vez mayor: el mundo depende del software program de código abierto, pero se necesita un apoyo generalizado y contribuciones financieras para mantener ese computer software seguro y protegido. Esta inversión de $ 1 millón es solo el comienzo visualizamos el programa piloto SOS como el punto de partida para esfuerzos futuros que, con suerte, unirán a otras organizaciones grandes y lo convertirán en una iniciativa sostenible a largo plazo bajo OpenSSF. Agradecemos los comentarios de la comunidad y el interés de otras personas que quieran contribuir al programa SOS. Juntos podemos unir nuestro apoyo para retribuir a la comunidad de código abierto que hace posible la Web moderna.



Enlace a la noticia authentic