Un SOS lancé pour améliorer la sécurité des logiciels open source
mar, 05/10/2021 - 16:23
La fondation Linux a lancé le programme pilote Secure Open Source Rewards (SOS) qui récompense financièrement les développeurs pour l'amélioration de la sécurité des projets open source critiques. Ce programme est géré par la Linux Foundation avec le parrainage initial de la Google Open Source Security Team (GOSST).
Le programme SOS récompense un très large éventail d'améliorations qui renforcent de manière proactive les projets open source critiques et prennent en charge l'infrastructure contre les attaques des applications et de la chaîne d'approvisionnement. Pour compléter les programmes existants qui récompensent la gestion des vulnérabilités, la portée de SOS est comparativement plus large dans le type de travail qu'il récompense, afin de soutenir les développeurs de projets.
Le programme vise dans un premier temps à récompenser les travaux suivants :
- Améliorations de la sécurité de la chaîne d'approvisionnement logicielle, y compris le renforcement des pipelines CI/CD et de l'infrastructure de distribution. Le cadre SLSA suggère des exigences spécifiques à prendre en compte, telles que la génération et la vérification de la provenance de base.
- Adoption de la signature et de la vérification des artefacts logiciels. Une option à considérer est l'ensemble d'utilitaires de Sigstore (par exemple, cosign ).
- Améliorations du projet qui produisent des résultats OpenSSF Scorecard plus élevés
Les montants des récompenses sont déterminés en fonction de la complexité et de l'impact du travail :
Montant | Nature de l'amélioration |
10 000 $ ou plus | Des améliorations complexes, à fort impact et durables qui empêchent presque certainement des vulnérabilités majeures dans le code affecté ou l'infrastructure de support. |
5 000 $ à 10 000 $ | Améliorations modérément complexes qui offrent des avantages de sécurité convaincants. |
1 000 $ - 5 000 $ | Soumissions de complexité et d'impact modestes. |
505 $ | De petites améliorations qui ont néanmoins du mérite d'un point de vue sécurité. |
Les développeurs souhaitant participer à ce programme sont inviter à lire d'abord cette FAQ puis à remplir ce formulaire pour soumettre leur candidature.