Google宣布赞助由Linux基金会管理的安全开源(SOS)试点计划,该计划对加强关键开源项目安全的开发者给予财务上的奖励。Google初期向该计划投资100万美元,并计划根据社区反馈扩大该计划的范围。
SOS奖励广泛的改进措施,主动加强关键开源项目和支持基础设施,以应对针对应用程序和供应链的攻击。为了补充现有的奖励漏洞管理的计划,还会直接支持项目开发者。
提交的材料将被评估,考虑到行业标准和技术研究所定义的指导方针,以及其他标准,包括:
有多少和哪些类型的用户将受到安全改进的影响?
改进措施是否会对基础设施和用户安全产生重大影响?
如果该项目被破坏,其影响有多严重或广泛?
该项目最初的重点是软件供应链的安全改进,采用软件工件的签名和验证,以及产生更高的OpenSSF记分卡结果的改进。
奖励范围从10000美元以上的复杂、高影响和持久的改进,几乎可以肯定地防止受影响的代码或支持的基础设施中的重大漏洞,到500美元的小改进,但至少从安全的角度来看需要有好处。
SOS试点项目被视为未来努力的起点,希望能将其他大型组织聚集在一起,并在OpenSSF下将其变成一个可持续的、长期的倡议。