Subhra Kar讨论了社区桥将如何为较小的开源开发人员提供通常仅限于大型枪支的资源
上个月,Linux基金会揭幕了社区桥,一个新平台,旨在为开发人员提供使开源技术更安全和可持续性所需的资源。
社区平台已使用三个工具启动:社区桥梁资金,该工具使开发人员能够为开源项目筹集资金;CommunityBridge Security,通过安全扫描和错误赏金服务为潜在的漏洞提供透明度;旨在将开源开发人员与导师联系起来的社区桥人。
重要的是,维护人员和开发人员访问和使用社区桥平台没有任何费用。作为项目参与早期访问计划的诱因,Linux基金会正在吸收任何平台和付款处理器费用的成本,以支付前1000万美元。
Linux基金会执行董事吉姆·泽姆林(Jim Zemlin)表示:“尽管大型开源项目的资源良好,但许多较小的项目需要更多的资金,人才,安全,多样性和资源才能蓬勃发展。”
“ CommunityBridge是通过赋予人们权能的人 - 一方面来解决关键挑战和推动开源创新和可持续性的平台。”
该基金会庆祝明年支持开源社区的20年,计划随着时间的推移进一步建立社区桥,以便提供一套为开源开发人员和生态系统提供服务的工具。
随着平台已经开始成形,每日swbeplay2018官网igLinux Foundation产品,工程和运营副总裁Shubhra Kar(Shubhra Kar)了解了有关该计划的更多信息。
Communitybridge平台创建背后的主要驱动力是什么?
Shubhra Kar:Open source powers more than 80% of the technology we all use every day, yet many of the world’s most critical developers and open source projects face barriers to growing and sustaining their communities, ranging from challenges with generating funding, to improving security, to advancing developers’ ability to further excel and contribute.
Linux Foundation开发了CommunityBridge,以确保开源开发商及其社区拥有确保和维护其代码,发展社区并推进关键开源技术所需的资源。
这Linux内核指导计划包括全职和兼职志愿者职位,将贯穿社区桥平台。我们认为,新的社区桥人类指导计划将极大地支持Linux和许多其他开源项目的增长。
Can you provide any information relating to the CommunityBridge Security ‘scanning service’? How easy is it for developers/maintainers to use this service and check their code for flaws?
SK:如果您的项目是在CommunityBridge资金上设置的,则CommunityBridge Security每天会自动扫描您的代码,从而在项目仪表板中添加任何检测到的漏洞。
根据问题(脆弱性缺陷)分类为基于高,中或低风险的问题CVSS分数由攻击矢量,攻击复杂性,用户交互,特权,必需,范围,保密性,完整性和可用性等因素决定。还显示了与这些问题关联的国家漏洞数据库(NVD)中的CVE和CWE。
为了提供对所捕获的漏洞缺陷的真实验证,扫描服务还参考了黑客使用黑客平台或相关的GITHUB问题报告的相关错误,或者是社区中开发人员根据其测试确定的。
项目维护者可以利用这些数据在其部署环境中快速复制问题,并在将其全部生产之前解决。
您的代码仅与链中最弱的链接一样强。该服务提供了有关项目检测到的上游依赖项的全面清单,并将其绘制到应用程序依赖树中。
在项目上游依赖项中检测到的漏洞也被捕获并提供给项目,以向维护者提供可行的数据,从而可以切换到更安全的上游库/项目;或询问上游项目的维护者来解决漏洞缺陷 - 创建更安全的生态系统。
安全扫描服务还提供缺陷补救指南。维护者可以通过升级到上游库的更高版本的上游图书馆来对此指南采取行动,该图书馆已经修复了已确定的缺陷,或者提交了社区开发人员作为潜在代码修复的补丁程序。维护者可以选择在其代码库中正确验证后建议的补救措施。
对于CommunityBridge安全,我们与Snyk合作提供每日脆弱性扫描对于社区桥上的所有项目。此外,CommunityBridge Security使用SNYK来扫描项目的存储库并确定依赖性的许可证,参考SPDX许可证列表。
许可证标识策略因生态系统而异,但通常通过包装上既定许可的结合,从注册表中检索元数据,并在清单文件中检测许可信息。
您可以通过平台的错误赏金元素与我们交谈吗?
SK:项目可以选择通过与Hackerone的合作伙伴关系来分配通过社区桥融资服务筹集的资金来管理Bug Bounty计划。
事实证明,协调的脆弱性披露(CVD)和错误赏金可以改善OSS和专有项目的代码,但设置它们可能是耗时且复杂的。
通过与Hackerone合作,Linux Foundation通过CommunityBridge与Hackerone合作,试图消除该开销,并使更多的开发人员能够利用这种有效的机制来改进其代码。
Bug Bounty计划由CommunityBridge团队代表每个项目建立和管理,通过共享计划管理服务,其成本要低于独立模型。
赏金金额,缺陷类别,严重性,项目维护者等人的脆弱性披露政策是通过与项目负责人/维护者合作而建立的。
有关捕获的错误和支付的赏金的高级摘要信息将显示在资金平台中,以供所有对该项目查看的人。但是,仅向项目的维护者披露详细的错误信息。
您注意到,维护人员和开发人员访问和使用社区桥平台没有任何费用。如果这项倡议成功,您如何计划在使用最初的1000万美元预算时继续该项目?
SK:CommunityBridge旨在为开发人员和维护人员提供服务。通过CommunityBridge筹集的第一笔1000万美元,任何类型的费用都不会收取任何费用;Linux Foundation将为这些捐款提供平台费,甚至是第三方支付处理器费用。
在CommunityBridge上托管的项目中,首批1000万美元中的每一美元都将用于其使用。一旦达成了1000万美元的里程碑,个人捐助者的捐款将获得5%的平台费用以及适用的第三方支付处理器费用。
此外,我们还与我们的会员社区联系,其中包括大型企业,以捐赠给该平台,以帮助我们承保更多这些成本超出第一波1000万美元的浪潮。
许多大型企业在很大程度上取决于我们旨在在社区桥上举办的关键开源项目,并表现出赞助这项计划的意愿。
我们已经收到了希望合作开发此平台的开发人员的请求。我们预计将提供社区桥平台代码作为开源项目本身,并将邀请贡献者在我们准备就绪后立即加入这项工作。
Linux Foundation成立于2000年,专注于开源软件,开放标准,开放数据和开放硬件的协作。在1000多名成员的支持下,基金会的项目对世界的数字基础设施至关重要,包括Linux,Kubernetes,Node.js等。
