SOS.DEV计划将通过鼓励研究人员建议对关键项目的安全改进来打击软件供应链攻击
一项新计划旨在奖励开发人员和安全研究人员,他们基于开源技术来改进关键基础架构。
安全开源奖励(sos.dev根据其支持者的说法,计划将比当前的Bug Bounty计划更广泛。
该计划将“严重批判开源项目”,并通过鼓励研究人员和开发人员建议改进安全性来帮助防止应用程序和软件供应链攻击。
奖励从小改善$ 505到10,000美元或以上的“复杂,高影响力和持久的改进,几乎可以肯定可以防止重大漏洞”。
保存我们的软件
安全开源奖励将根据“关键软件”的定义,以及安全改进的范围以及将受益的用户数量。
支持者还将考虑该项目的任何妥协的严重性,以及该项目在开源批判性研究中排名的地方,包括哈佛2人口普查研究最常用的包裹,OpenSSF临界得分项目排名。
安全的开源奖励正在寻找供应链安全性的改进,改进,从而为更高的OpenSSF关键计分卡结果,采用软件工件签名和验证以及其他最佳实践措施。
随着sos.dev的发展,其他改进将添加到目标中。
百万美元的资金
安全开源奖励方案与常规的不同错误赏金程序涵盖了项目开发人员的安全改进,而不仅仅是漏洞。
它还将为希望进行长期安全改进的项目提供有限的预先资金。
该倡议是组织移动以升级关键基础架构和应用程序的安全性。更多的关注集中在软件供应链上,包括整个生态系统中重要的开源组件的作用。
“许多商业和开源解决方案,包括CNI使用的解决方案,运营着关键的基础架构,beplay维护得多久依赖于包括OpenSSL和Log4J在内的开源库,我们过去曾经看到过重复的攻击。”OT-ISAC执行委员会主席告诉每日swbeplay2018官网ig。
“如果我们现在对这些致命弱点的高跟鞋不做任何事情,那么由于软件供应链的攻击,我们将继续看到大规模的破坏。”
OpenUK的Control Plane和CISO首席执行官Andrew Martin补充说:“供应链安全始于初始贡献者以及其编码实践,计算环境和构建系统的安全性。
“组织需要了解开发和生产系统(包括开源)中的所有组件。
“ Linux Foundation的OpenSSF和CNCF标签安全组分别集中在关键和云本机软件上,而SOS.DEV占据了更加注重开发人员的空间,并得到Google Gosst团队的支持。
“后者还支持基于Kubernetes的KCTF漏洞奖励计划(VRP),该计划旨在向研究人员支付逃避容器和攻击Linux内核的付费。
“这些举措看到,与逃避这些沙箱和应用所需的技能水平相称的支出大幅增加,并且共同阐明了不受信任的第三方代码的风险,使其经过对脆弱性研究人员的审查。”
SOS.DEV由Linux Foundation由Google开源安全团队赞助,并拥有100万美元的初始资金。
你可能还喜欢瑞士邮政重新启动电子投票漏洞赏金计划
