Belohnungsprogramm: Eine Million Dollar fĂĽr Sicherheit in Open-Source-Projekten
Das Linux-Foundation-Projekt "Secure Open Source Rewards" erhält von Google eine finanzielle Zuwendung zur Ausschüttung an Open-Source-Entwickler.
Google hat bekannt gegeben, "Secure Open Source Rewards" (SOS) mit einer Million US-Dollar zu sponsern. Das Pilotprogramm der Linux Foundation soll zur Erhöhung der Sicherheit in kritischen Open-Source-Projekten beitragen, indem es Gewinne an Entwicklerinnen und Entwickler ausschüttet, die darin Sicherheitslücken beheben. Neben der initialen Summe stellt Google weitere Zahlungen in Aussicht.
Gestaffelte Belohnungen
Die Höhe der Belohnungen im Rahmen des SOS-Programms ist nach der Komplexität der Sicherheitsneuerungen in vier Gruppen gestaffelt. Die geringste Stufe besteht aus kleineren Sicherheitsverbesserungen in einem kritischen Open-Source-Projekt, die zu einer Zahlung von 505 US-Dollar führen können. 1.000 bis 5.000 US-Dollar (USD) sind für Neuerungen geringer Komplexität und Auswirkungen möglich.
Nochmals lukrativer sieht es für Verbesserungen mittlerer Komplexität mit deutlichen Sicherheitsvorteilen aus: Dafür können zwischen 5.000 und 10.000 USD anfallen. Eine Belohnung ab 10.000 USD winkt Entwicklerinnen und Entwicklern, die komplizierte und nachhaltige Neuerungen einbringen, die mit hoher Wahrscheinlichkeit große Sicherheitslücken im Code oder darauf basierender Infrastruktur verhindern.
Teilnahme und Evaluierung
Zu den belohnenswerten Aspekten zählen etwa eine Erhöhung der Sicherheit in Software Supply Chains, das Hinzufügen einer Software-Signierung oder eine Erhöhung der Werte von Scorecards. Die FAQs des SOS-Programms zeigen die derzeit akzeptierten Sicherheitsneuerungen, weitere sollen folgen. Dabei ist zu beachten, dass nur Neuerungen ab dem 1. Oktober 2021 Berücksichtigung finden.
Die Entscheidung ĂĽber Einreichungen obliegt einem Panel, das aus Mitgliedern der Linux Foundation und des Google Open Source Security Teams (GOSST) besteht und auf weitere Organisationen ausgeweitet werden soll.
Wann ist ein Projekt kritisch?
Die Relevanz von Open-Source-Projekten bewertet das SOS-Programm mithilfe verschiedener Kriterien. Dazu zählen die Richtlinien des US-amerikanischen National Institute of Standards and Technology (NIST), die als Antwort auf die diesjährige "Executive Order on Cybersecurity" des Weißen Hauses erschienen sind.
Auch ein Score über 0,6 in der Open Source Project Criticality Score (Beta) trägt zur Bewertung bei, ebenso wie die Erwähnung im "Census Program II", einer von der Linux Foundation und dem Laboratory for Innovation Science at Harvard erhobenen Studie der meistgenutzten Open-Source-Packages. Weitere Kriterien umfassen die Anzahl der Nutzerinnen und Nutzer, die von den Neuerungen bei der Sicherheit betroffen sind, sowie die Bedeutsamkeit der Auswirkungen der Bugfixes.
Dem Google-Entwicklerblog lassen sich Details zum Sponsoring sowie zu anderen aktuellen Security-Investitionen von Google entnehmen. Weitere Informationen zu "Secure Open Source Rewards" bietet die eigens eingerichtete Website soz.dev.
(mai)