Inicio Noticias Programa piloto de recompensas SOS de $ 1 millón

Programa piloto de recompensas SOS de $ 1 millón

Con el patrocinio de Google, la Fundación Linux lanzó el programa piloto Secure Open Source Rewards para incentivar las mejoras que fortalecen proactivamente los proyectos críticos de código abierto y su infraestructura de soporte contra los ataques a las aplicaciones y la cadena de suministro. Los premios oscilan entre $ 505 y $ 10,000 o más.

En vista de la ubicuidad de los ataques cibernéticos que explotan vulnerabilidades dirigidas a personas, organizaciones y gobiernos de todo el mundo, Google anunció en agosto de 2021 que invertiría $ 10 mil millones durante los próximos cinco años para fortalecer la ciberseguridad, incluida la mejora de la seguridad de código abierto. Esto incluyó un compromiso de $ 100 millones para respaldar fundaciones de terceros, como OpenSSF, que administran las prioridades de seguridad de código abierto y ayudan a solucionar vulnerabilidades.

Ahora Google ha anunciado el patrocinio del programa piloto Secure Open Source (SOS) de la Fundación Linux que ofrece recompensas económicas a los desarrolladores para mejorar la seguridad de los proyectos críticos de código abierto de los que todos dependemos. Google está comenzando con una inversión de $ 1 millón y planea expandir el alcance del programa en base a los comentarios de la comunidad.

Los importes de las primas se determinan tanto en la complejidad como en el impacto de la mejora realizada:

$ 10,000 o más: por introducir mejoras complejas, significativas y relevantes a largo plazo que brindan protección contra vulnerabilidades graves en el código o la infraestructura de proyectos abiertos. $ 5,000 – $ 10,000 – para mejoras de dificultad media que tienen un efecto positivo en la seguridad. $ 1000 – $ 5000 por mejoras de dificultad moderada que aumentan la seguridad. $ 505 – por pequeñas mejoras de seguridad.

Los premios se pagarán utilizando la plataforma de financiación colectiva de la Fundación Linux.

Reclamar una recompensa es una cuestión de completar un formulario en relación con una mejora de seguridad que se completó después del 1 de octubre de 2021. Calificar el proyecto de código abierto debe considerarse crítico. Para esto, debe usarse ampliamente y la sugerencia es que debe incluirse en el Estudio del censo de Harvard 2, parte de la Iniciativa de infraestructura central (CII) de la Fundación Linux y otro proyecto destinado a informar acciones para apoyar la seguridad y la salud a largo plazo. . plazo de FOSS. Alternativamente, debería tener un puntaje de criticidad de 0.6 o más en el proyecto Open SSF Criticality Score, consulte Tomando en serio la criticidad del código abierto.

Al otorgar una recompensa, también se considerará el impacto. Los criterios establecidos en SOS.dev son:

¿Cuántos y qué tipos de usuarios se verán afectados por las mejoras de seguridad? ¿Tendrán las mejoras un impacto significativo en la infraestructura y la seguridad de los usuarios? Si el proyecto estuviera comprometido, ¿qué tan graves o de largo alcance serían las implicaciones?

En cuanto al tipo de mejoras de seguridad que califican para una recompensa financiera, las sugerencias incluyen lo siguiente y también establecen que la lista se ampliará:

Mejoras en la seguridad de la cadena de suministro de software, incluido el fortalecimiento de las canalizaciones de CI / CD y la infraestructura de distribución. Adopción de firma y verificación de artefactos de software. Mejoras del proyecto que producen mejores resultados de OpenSSF Scorecard. Por ejemplo, un compañero de trabajo puede seguir las sugerencias de reparación para las siguientes comprobaciones del cuadro de mando:

Revisión de código

Protección de rama

Dependencias bloqueadas

Herramienta de actualización de dependencias

Pelusa

Las preguntas frecuentes señalan que SOS Rewards no es un programa de recompensas por errores y no recompensa los informes de vulnerabilidad específicos del proyecto y que cualquier vulnerabilidad encontrada en un proyecto debe informarse de acuerdo con la política de divulgación de seguridad del proyecto.

En el caso de mejoras de impacto de complejidad moderada a alta, la necesidad de financiación inicial durante un período de tiempo considerable se considerará caso por caso.

El año pasado, cuando estaba informando sobre el proyecto OSSF Criticality Score, noté que era:

el primer paso para que una empresa se asegure de que los proyectos en los que se depende en gran medida obtengan los recursos que necesitan.

El programa SOS Rewards parece ser una buena continuación en un esfuerzo por mejorar la seguridad de los proyectos de código abierto que son vitales para las empresas, el comercio y el gobierno en todo el mundo.

Como dice SOS.dev:

El programa SOS es parte de un esfuerzo mayor para abordar una verdad cada vez mayor: el mundo depende del software de código abierto, pero se necesita un apoyo generalizado y contribuciones financieras para mantener ese software seguro y protegido. Esta inversión de $ 1 millón es solo el comienzo: visualizamos el programa piloto SOS como el punto de partida para esfuerzos futuros que, con suerte, unirán a otras grandes organizaciones y la transformarán en una iniciativa sostenible a largo plazo dentro de OpenSSF.

sosrewardsq

Marc Gomez
Vine a por tabaco y ya me quedé aquí. Cuando no estoy en el sótano de Tecnopasion suelo pasear por las calles de Barcelona.
RELATED ARTICLES