圖片來源: 

photo by Irvan Smith on unsplash

Google於10月1日宣布,將贊助100萬美元予Linux基金會(Linux Foundation)旗下的「捍衛開源碼安全」(Secure Open Source,SOS)獎勵專案,鼓勵開發者尋找並回報開源專案的安全漏洞,並藉此拋磚引玉。

Google在白宮舉行資安高峰會的當天,承諾將在未來5年內投入100億美元的資金來強化資安,當中有1億美元是用來支援第三方的開源基金會,包括OpenSSF開源安全基金會與SOS

SOS獎勵的目的在於主動強化重要開源碼專案的安全性,支援開源專案的基礎架構以對抗應用程式及供應鏈攻擊,由於它是用來補充既有的漏洞獎勵專案,因此SOS獎勵的範圍更為廣泛。

雖說廣泛,但SOS獎勵仍以重要的開源專案為優先,將評估專案的使用規模、對專案架構及使用者安全性的影響,以及若被開採所帶來的嚴重性。此外,初期SOS獎勵也會聚焦於特定的類別,包括軟體供應鏈的安全改善、對軟體產物簽章與驗證的採用、可產生更高OpenSSF分數的改善、使用OpenSSF Allstar 及修復所發現的問題,以及獲得CII最佳實作徽章等。Google也願意依照資安研究人員的需求,先行提供研究津貼。

目前SOS獎勵所規畫的獎金從505美元到1萬美元不等,愈複雜、影響愈大或者是對基礎架構有重大改善的,即有機會獲得最高獎金。

其實100萬美元對Google而言並不多,因為光是Google自己的抓漏獎勵專案,2018年發出的獎金就有340萬美元,2019年為650萬美元,2020年更超過670萬美元。

不過,Google也說針對SOS獎勵所提供的100萬美元只是個開端,希望能藉此拋磚引玉,號召OpenSSF開源安全基金會的成員加入。


熱門新聞

Advertisement