Google在8月的時候,宣布要資助1億美元,給幫助修復開源專案漏洞,並維護專案安全性的第三方基金會,現在Google兌現部分這項承諾,宣布支援開源技術改進基金會(Open Source Technology Improvement Fund,OSTIF),來提高包括Git和Laravel在內的8大專案安全性。

Google所提供的資源,將使OSTIF能夠提供託管稽核計畫(Managed Audit Program),這項計畫會對重要專案,進行深入的安全性審核,第一輪選出的函式庫、框架和應用程式,都對開源生態系有舉足輕重的地位,這些專案包括Git、Lodash、Laravel、Slf4j、Jackson-core和Jackson-databind以及Httpcomponents-core和Httpcomponents-client。

OSTIF官方提到,大型企業願意捐助OSTIF,代表OSTIF進行安全審查和程式碼稽核,來提升開源專案安全的模式是成功的。OSTIF集結經驗豐富的團隊,進行有針對性且大範圍的審查,能夠大幅改進這些被廣泛使用的開源專案安全性,例如OSTIF就對用於保護網站的開源DNS解析器進行安全審查,總共修復了1個嚴重、5個高風險和5個中等風險的漏洞,總共進行了48項的改進,以全面提升其安全性。

Google的資助讓OSTIF有能力執行託管稽核計畫,這項計畫會從生態系重要開源專案開始,研究人員經研究列出最初託管稽核計畫25個專案,再經由交叉參照OpenSSF安全計分卡,最後共同確定對8個專案進行安全改進,期望對開源生態系產生深遠的影響。


熱門新聞

Advertisement