Google ha anunciado el apoyo financiero a una nueva iniciativa diseñada para incentivar las mejoras proactivas de seguridad en el código abierto.
A diferencia de los programas de recompensas por errores, que ofrecen remuneraciones a los investigadores que descubren fallos críticos en el software, el proyecto Secure Open Source (SOS) hará lo mismo con los desarrolladores cuyo trabajo evite la aparición de vulnerabilidades importantes, en primer lugar.
“SOS recompensa una amplia gama de mejoras que refuerzan de forma proactiva los proyectos críticos de código abierto y la infraestructura de apoyo contra los ataques a las aplicaciones y a la cadena de suministro”, explicó Google.
“Para complementar los programas existentes que premian la gestión de vulnerabilidades, el alcance de SOS es comparativamente más amplio en el tipo de trabajo que premia, con el fin de apoyar a los desarrolladores de proyectos”.
El proceso de selección de los proyectos incluidos en el programa tendrá en cuenta las directrices del NIST y la nueva orden ejecutiva presidencial sobre ciberseguridad, así como criterios como el número de usuarios que se verán afectados y la gravedad del impacto que tendría un compromiso.
La lista inicial de proyectos incluye mejoras en la cadena de suministro de software, como el endurecimiento de los conductos CI/CD, la adopción de la firma y verificación de artefactos de software y las mejoras que producen resultados más altos en la OpenSSF Scorecard.
SOS también se fijará en los proyectos que utilicen OpenSSF Allstar y solucionen los problemas descubiertos, así como en los que puedan obtener la insignia de mejores prácticas de CII.
La inversión de 1 millón de dólares de Google ayudará a financiar premios de 10.000 dólares o más para “mejoras complicadas, de gran impacto y duraderas que eviten con casi total seguridad vulnerabilidades importantes en el código afectado o en la infraestructura de apoyo”.
Hay disponibles importes más pequeños, que van de 505 a 10.000 dólares, en función de la complejidad y los beneficios.
“Esta inversión de 1 millón de dólares es sólo el principio: prevemos que el programa piloto SOS sea el punto de partida de futuros esfuerzos que, con suerte, reunirán a otras grandes organizaciones y lo convertirán en una iniciativa sostenible a largo plazo en el marco del OpenSSF”, concluyó Google.
Con información de Computer Hoy.