Google apuesta por un nuevo programa de recompensas de código abierto seguro para desarrolladores con un cash inicial de $ 1 millón


El programa SOS, dirigido por la Fundación Linux, recompensará a los desarrolladores con potencialmente más de $ 10,000 por mejorar la seguridad del computer software crítico de código abierto.

istock-920000764.jpg

Imagen: SIphotography, Getty Photos / iStockphoto

Como parte de Google anunció recientemente un compromiso de $ 10 mil millones para la defensa de la ciberseguridad, la empresa anunció el viernes el patrocinio de la Programa piloto de recompensas Safe Open Supply (SOS) dirigido por la Fundación Linux.

Contenido imprescindible para desarrolladores

El programa recompensa económicamente a los desarrolladores por mejorar la seguridad de proyectos críticos de código abierto. Está dirigido por la Fundación Linux con el patrocinio inicial del equipo de seguridad de código abierto de Google de $ 1 millón.

«Los programas de recompensa existentes en la comunidad de código abierto se centran principalmente en encontrar vulnerabilidades, pero este programa se centra en incorporar la seguridad como parte del ciclo de vida del desarrollo de software package y ayudar al ecosistema a prosperar con inversiones sostenidas», dijo Abhishek Arya, ingeniero principal y gerente. del equipo de seguridad de código abierto de Google. «La inversión y el compromiso de Google de ‘cambiar a la izquierda’ pueden detener las vulnerabilidades de seguridad incluso antes de que ocurran».

VER: Política de respuesta a incidentes de seguridad (TechRepublic Premium)

El programa SOS recompensa una amplia gama de mejoras que fortalecen proactivamente los proyectos críticos de código abierto y la infraestructura de soporte contra los ataques a las aplicaciones y la cadena de suministro, dijo Google en un comunicado de prensa.

Dado que no existe una definición única de lo que hace que un proyecto de código abierto sea crítico, Google dijo que su proceso de selección será holístico. Google considerará las pautas establecidas por el Definición del Instituto Nacional de Estándares y Tecnología de lo que constituye software package crítico.

El programa se enfoca inicialmente en recompensar el siguiente trabajo, y Google lo agregará a la lista a medida que pase el tiempo:

  • Mejoras en la seguridad de la cadena de suministro de application, incluido el fortalecimiento de las canalizaciones de integración continua / entrega continua (CI / CD) y la infraestructura de distribución. los Marco SLSA sugiere requisitos específicos a considerar, como la generación y verificación de procedencia básica.

  • Adopción de firma y verificación de artefactos de software package.

  • Proyecto de mejoras que producen mayor Cuadro de mando OpenSSF resultados.

Los desarrolladores también pueden enviar mejoras que no estén en la lista siempre que proporcionen justificación y evidencia para ayudar a los administradores del programa SOS a comprender la complejidad y el impacto del trabajo completado. Solo el trabajo completado después del 1 de octubre de 2021 califica para las recompensas SOS.

VER: Lenguaje de programación C ++: cómo se convirtió en la foundation de todo y lo que sigue (PDF gratuito) (TechRepublic)

La financiación inicial estará disponible caso por caso para mejoras impactantes de complejidad moderada a alta durante un período de tiempo más largo.

¿Cómo pueden participar los desarrolladores y cuáles son las recompensas?

Los desarrolladores que deseen participar en el programa deben visitar el Página de preguntas frecuentes y llene el Formulario de envío seguro de código abierto.

Los montos de las recompensas se determinan en función de la complejidad y el impacto del trabajo:

  • $ 10,000 o más por mejoras complicadas, de alto impacto y duraderas que evitan vulnerabilidades importantes en el código afectado o la infraestructura de soporte.

  • $ 5,000- $ 10,000 por mejoras moderadamente complejas que ofrecen atractivos beneficios de seguridad.

  • $ 1,000- $ 5,000 para presentaciones de modesta complejidad e impacto.

  • $ 505 para pequeñas mejoras que, sin embargo, tienen mérito desde el punto de vista de la seguridad.

Ver también



Enlace a la noticia initial