ForAllSecure ofrece $ 1,000 para que cualquiera integre su fuzzer Mayhem impulsado por IA en proyectos de código abierto, ya sea que sea el mantenedor del proyecto o no.
"Supongo que esto es solo una tesis de diferencia que tenemos [con otros programas de incentivos de seguridad de CI/CD ]. Creemos que todos deberían poder verificar la seguridad, el software que van a ejecutar, no solo los desarrolladores. ”, dijo David Brumley, director ejecutivo y cofundador de ForAllSecure. "El desarrollador es quien probablemente debería parchear, pero todos deberían poder hacer esa evaluación de riesgos".
El programa, llamado Mayhem Heroes, ofrecerá una recompensa a las bifurcaciones de un proyecto de código abierto razonablemente popular que implemente la versión gratuita de Mayhem. Los términos de la recompensa incluyen que el grupo original necesita 100 estrellas o más para calificar.
ForAllSecure presentó su versión gratuita de Mayhem el mes pasado.
Las cadenas de suministro de código abierto han estado bajo escrutinio el año pasado después de Log4j y una serie de vulnerabilidades introducidas intencionalmente como una forma de protesta: Colors, Faker y Node-ipc. Si bien los expertos advierten regularmente contra pintar el código abierto con un pincel amplio (las vulnerabilidades ocurren en paquetes comerciales y el código abierto bien mantenido generalmente se considera confiable), presentan cuellos de botella donde un problema puede tener efectos posteriores masivos.
"Estamos recibiendo la mayor emoción de los usuarios intermedios", dijo Brumley de Mayhem Heroes, aunque dijo que el apoyo de los desarrolladores con los que había hablado también era sólido. “Nos pusimos en contacto con los fabricantes de automóviles y les dijimos: 'Oigan, miren, aquí hay cosas que están poniendo en sus autos, por ejemplo. Es de código abierto'. Nunca lo ha probado ahora, puede probarlo de forma gratuita y beneficiar no solo al desarrollador, sino también a empresas como usted".
Fuente: scmagazine | somoslibres
