Google贊助Secure Open Source獎勵專案100萬美元

Google於10月1日宣布，將贊助100萬美元予Linux基金會（Linux Foundation）旗下的「捍衛開源碼安全」（Secure Open Source，SOS）獎勵專案，鼓勵開發者尋找並回報開源專案的安全漏洞，並藉此拋磚引玉。

Google在白宮舉行資安高峰會的當天，承諾將在未來5年內投入100億美元的資金來強化資安，當中有1億美元是用來支援第三方的開源基金會，包括OpenSSF開源安全基金會與SOS。

SOS獎勵的目的在於主動強化重要開源碼專案的安全性，支援開源專案的基礎架構以對抗應用程式及供應鏈攻擊，由於它是用來補充既有的漏洞獎勵專案，因此SOS獎勵的範圍更為廣泛。

雖說廣泛，但SOS獎勵仍以重要的開源專案為優先，將評估專案的使用規模、對專案架構及使用者安全性的影響，以及若被開採所帶來的嚴重性。此外，初期SOS獎勵也會聚焦於特定的類別，包括軟體供應鏈的安全改善、對軟體產物簽章與驗證的採用、可產生更高OpenSSF分數的改善、使用OpenSSF Allstar 及修復所發現的問題，以及獲得CII最佳實作徽章等。Google也願意依照資安研究人員的需求，先行提供研究津貼。

目前SOS獎勵所規畫的獎金從505美元到1萬美元不等，愈複雜、影響愈大或者是對基礎架構有重大改善的，即有機會獲得最高獎金。

其實100萬美元對Google而言並不多，因為光是Google自己的抓漏獎勵專案，2018年發出的獎金就有340萬美元，2019年為650萬美元，2020年更超過670萬美元。

不過，Google也說針對SOS獎勵所提供的100萬美元只是個開端，希望能藉此拋磚引玉，號召OpenSSF開源安全基金會的成員加入。