Linux和谷歌联合推出安全开源奖励计划，最高奖励1万美元或更多

据悉，该计划的涵盖范围要比现有的漏洞奖励范围更为广阔。该计划将“加固关键开源项目”的安全，通过鼓励研究人员和开发人员提出安全改进建议，帮助项目对抗应用程序和软件供应链攻击。

奖励金范围从505美元（小范围改进）到1万美元或更多，高额奖励主要针对“复杂的、影响力大且持久的几乎肯定阻止重大漏洞的改进。”

安全开源奖励计划将根据美国国家标准和技术研究院 (NIST) 提出的“关键软件”的定义、安全改进幅度以及受益用户的数量来选择合法项目。另外，还将考虑项目遭攻陷的严重性、项目在开源严重性研究中的排名（如使用最多的程序包的 Harvard 2 共识研究）以及OpenSSF 严重性评分项目排名。

安全开源奖励计划正在寻求供应链安全改进，这些改进将推动更高的OpenSSF 严重性记分卡分数、采用软件组件和验证以及其它最佳实践措施。随着SOS.dev的演进，也会涵盖其它改进方面。

安全开源奖励计划和传统的漏洞奖励计划不同，因为前者涵盖了项目开发人员的安全改进，而仅非涵盖漏洞。同时它也会对寻求长久安全改进的项目提供一定的启动资金支持。

随着组织机构升级关键基础设施和应用程序的安全性，该计划应运而生。人们对软件供应链的关注更多，包括生态系统中重要开源组件的角色。

ISACA 新加坡成员总裁兼OT-ISAC执行委员会会长 Steven Sim 指出，“包括CNI使用的很多商业和开源解决方案，依赖OpenSSL和Log4j等开源库运营关键基础设施，而相关攻击一再发生。如果我们现在对这些致命弱点置之不理，则将会仍然看到因软件供应链攻击造成的大规模数据泄露事件。”

ControlPlane 的首席执行官兼OpenUK的首席信息安全官 Andrew Martin指出，“供应链安全始于最初的贡献者及其编码实践、计算环境和构建系统的安全。组织机构需要认识到开发系统和生产系统中的所有组件，包括开源在内。Linux基金会的OpenSSF 和 CNCF TAG 安全团队分别专注于固件和云原生软件，SOS.dev 占据更关注于开发人员的空间，而且还得到了谷歌GOSST团队的支持。后者还支持基于 Kubernetes 的kCTF 漏洞奖励计划，向逃逸容器和攻击 Linux Kernel 的研究人员支付奖励金。随着逃逸沙箱和应用程序所需技能的提升，这些奖励金的额度也在提升，说明了不可信第三方代码通过漏洞研究员审查的风险。”

了解更多详情，可访问：https://sos.dev/。

题图：Pixabay License‍

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    觉得不错，就点个 “在看” 或 "赞” 吧~