El programa SOS, dirigido por la Fundación Linux, recompensará a los desarrolladores con potencialmente más de $ 10,000 por mejorar la seguridad del software crítico de código abierto.
Como parte del compromiso de $ 10 mil millones recientemente anunciado por Google para la defensa de la ciberseguridad , la compañía anunció el viernes el patrocinio del programa piloto Secure Open Source (SOS) Rewards dirigido por la Fundación Linux.
El programa recompensa económicamente a los desarrolladores por mejorar la seguridad de proyectos críticos de código abierto. Está dirigido por la Fundación Linux con el patrocinio inicial del equipo de seguridad de código abierto de Google de $ 1 millón.
"Los programas de recompensa existentes en la comunidad de código abierto se centran principalmente en encontrar vulnerabilidades, pero este programa se centra en incorporar la seguridad como parte del ciclo de vida del desarrollo de software y ayudar al ecosistema a prosperar con inversiones sostenidas", dijo Abhishek Arya, ingeniero principal y gerente. del equipo de seguridad de código abierto de Google. "La inversión y el compromiso de Google de 'cambiar a la izquierda' pueden detener las vulnerabilidades de seguridad incluso antes de que ocurran".
El programa SOS recompensa una amplia gama de mejoras que fortalecen proactivamente los proyectos críticos de código abierto y la infraestructura de soporte contra los ataques a las aplicaciones y la cadena de suministro, dijo Google en un comunicado de prensa.
Dado que no existe una definición única de lo que hace que un proyecto de código abierto sea crítico, Google dijo que su proceso de selección será holístico. Google considerará las pautas establecidas por la definición del Instituto Nacional de Estándares y Tecnología de lo que constituye software crítico .
El programa se enfoca inicialmente en recompensar el siguiente trabajo, y Google lo agregará a la lista a medida que pase el tiempo:
- Mejoras en la seguridad de la cadena de suministro de software, incluido el fortalecimiento de las canalizaciones de integración continua / entrega continua (CI / CD) y la infraestructura de distribución. El marco SLSA sugiere requisitos específicos a considerar, como la generación y verificación de procedencia básica.
- Adopción de firma y verificación de artefactos de software.
- Mejoras del proyecto que producen mejores resultados de OpenSSF Scorecard .
Los desarrolladores también pueden enviar mejoras que no estén en la lista siempre que proporcionen justificación y evidencia para ayudar a los administradores del programa SOS a comprender la complejidad y el impacto del trabajo completado. Solo el trabajo completado después del 1 de octubre de 2021 califica para las recompensas SOS.
La financiación inicial estará disponible caso por caso para mejoras impactantes de complejidad moderada a alta durante un período de tiempo más largo.
¿Cómo pueden participar los desarrolladores y cuáles son las recompensas?
Los desarrolladores que deseen participar en el programa deben visitar la página de preguntas frecuentes y completar el formulario de envío de código abierto seguro .
Los montos de las recompensas se determinan en función de la complejidad y el impacto del trabajo:
$ 10,000 o más por mejoras complicadas, de alto impacto y duraderas que evitan vulnerabilidades importantes en el código afectado o la infraestructura de soporte.
$ 5,000- $ 10,000 por mejoras moderadamente complejas que ofrecen atractivos beneficios de seguridad.
$ 1,000- $ 5,000 para presentaciones de modesta complejidad e impacto.
$ 505 para pequeñas mejoras que, sin embargo, tienen mérito desde el punto de vista de la seguridad.
Más información: blog.google/technology/safety-security/
Fuente: techrepublic.com | somoslibres
