Google于10月1日宣布,将赞助100万美元给Linux基金会(Linux Foundation)旗下的“捍卫开源安全”(Secure Open Source,SOS)奖励项目,鼓励开发者寻找并回应开源项目的安全漏洞,并借此抛砖引玉。
Google在白宫举行安全高峰会的当天,承诺将在未来5年内投入100亿美元的资金来强化安全,其中有1亿美元是用来支持第三方的开源基金会,包括OpenSSF开源安全基金会与SOS。
SOS奖励的目的在于主动强化重要开源项目的安全性,支持开源项目的基础架构以对抗应用程序及供应链攻击,由于它是用来补充既有的漏洞奖励项目,因此SOS奖励的范围更为广泛。
虽说广泛,但SOS奖励仍以重要的开源项目为优先,将评估项目的使用规模、对项目架构及用户安全性的影响,以及若被开采所带来的严重性。此外,初期SOS奖励也会聚焦于特定的类别,包括软件供应链的安全改善、对软件产物签章与验证的采用、可产生更高OpenSSF分数的改善、使用OpenSSF Allstar及修复所发现的问题,以及获得CII最佳实例徽章等。Google也愿意依照安全研究人员的需求,先行提供研究津贴。
目前SOS奖励所规划的奖金从505美元到1万美元不等,愈复杂、影响愈大或者是对基础架构有重大改善的,即有机会获得最高奖金。
其实100万美元对Google而言并不多,因为光是Google自己的漏洞挖掘奖励项目,2018年发出的奖金就有340万美元,2019年为650万美元,2020年更超过670万美元。
不过,Google也说针对SOS奖励所提供的100万美元只是个开端,希望能借此抛砖引玉,号召OpenSSF开源安全基金会的成员加入。