SOS.dev girişimi, araştırmacıları önemli projelerde güvenlik iyileştirmeleri önermeye teşvik ederek yazılım tedarik zinciri saldırılarıyla mücadele edecek.
Yeni bir program, açık kaynak teknolojisine dayalı kritik altyapıda iyileştirmeler yapan geliştiricileri ve güvenlik araştırmacılarını ödüllendirmeyi hedefliyor.
Destekçilerine göre, Güvenli Açık Kaynak Ödülleri (SOS.dev) şeması, mevcut hata ödül programlarından daha geniş olacaktır.
Program, “kritik açık kaynak projelerini güçlendirecek” ve araştırmacıları ve geliştiricileri güvenlik iyileştirmeleri önermeye teşvik ederek uygulama ve yazılım tedarik zinciri saldırılarına karşı korunmaya yardımcı olacak.
Ödüller, küçük iyileştirmeler için 505 ABD Doları ile “büyük güvenlik açıklarını neredeyse kesinlikle önleyen karmaşık, yüksek etkili ve kalıcı iyileştirmeler” için 10.000 ABD Doları veya daha fazla arasında değişmektedir.
Yazılımımızı Kaydet
Güvenli Açık Kaynak Ödülleri, NIST’in ‘kritik yazılım’ tanımına ve ayrıca güvenlik iyileştirmelerinin kapsamına ve yararlanabilecek kullanıcı sayısına göre uygun projeleri seçecektir.
Destekçiler ayrıca, projedeki herhangi bir uzlaşmanın ciddiyetini ve en çok kullanılan paketlerin Harvard 2 Nüfus Sayımı Çalışması ve OpenSSF Kritiklik Skoru proje sıralamaları dahil olmak üzere açık kaynak kritiklik araştırmasında projenin nerede yer aldığını da göz önünde bulunduracaklar.
İLİŞKİLİ Geliştiriciler, kod incelemeleri sırasında hala güvenlik sorunlarıyla mücadele ediyor, çalışma bulguları
Güvenli Açık Kaynak Ödülleri, tedarik zinciri güvenliği iyileştirmeleri, daha yüksek OpenSSF Kritiklik Puan Kartı sonuçları veren iyileştirmeler, yazılım yapıt imzalama ve doğrulamasını benimseme ve diğer en iyi uygulama önlemlerini arıyor.
SOS.dev geliştikçe hedeflere başka iyileştirmeler eklenecektir.
Milyon dolarlık finansman
Güvenli Açık Kaynak Ödülleri programı, yalnızca güvenlik açıklarından ziyade proje geliştiricileri tarafından yapılan güvenlik iyileştirmelerini kapsadığı için geleneksel hata ödül programlarından farklıdır.
Ayrıca, daha uzun vadeli güvenlik iyileştirmeleri yapmak isteyen projeler için sınırlı miktarda ön finansman sunacak.
Girişim, kuruluşların kritik altyapı ve uygulamalar için güvenliği yükseltmeye başlamasıyla ortaya çıkıyor. Ekosistem genelinde hayati açık kaynak bileşenlerinin rolü de dahil olmak üzere yazılım tedarik zincirlerine daha fazla ilgi gösteriliyor.
ISACA Singapur bölüm başkanı Steven Sim, “CNI tarafından kullanılanlar da dahil olmak üzere birçok ticari ve açık kaynak çözümü, geçmişte tekrarlanan saldırılara tanık olduğumuz OpenSSL ve Log4j dahil olmak üzere açık kaynak kitaplıklarına dayanan kritik altyapıyı işletiyor” ve OT-ISAC yönetim kurulu başkanı, şunları söyledi: Günlük Swig.
“Şu anda bu Aşil’in topuklarıyla ilgili hiçbir şey yapmazsak, yazılım tedarik zinciri saldırılarının bir sonucu olarak büyük ihlaller görmeye devam edeceğiz.”
En son yazılım tedarik zinciri güvenlik haberlerini okuyun
ControlPlane CEO’su ve OpenUK CISO’su Andrew Martin şunları ekledi: “Tedarik zinciri güvenliği, ilk katkıda bulunan kişiyle ve kodlama uygulamalarının, bilgi işlem ortamının ve yapı sistemlerinin güvenliğiyle başlar.
“Kuruluşların, açık kaynak da dahil olmak üzere geliştirme ve üretim sistemlerindeki tüm bileşenlerin farkında olması gerekiyor.
“Linux Foundation’ın OpenSSF ve CNCF TAG Security grupları sırasıyla kritik ve bulut yerel yazılımlarına odaklanıyor ve SOS.dev daha geliştirici odaklı bir alan kaplıyor ve ayrıca Google GOSST ekibi tarafından destekleniyor.
“İkincisi, konteynerlerden kaçmak ve Linux Çekirdeğine saldırmak için araştırmacılara ödeme yapmak isteyen Kubernetes tabanlı kCTF Güvenlik Açığı Ödül Programını (VRP) da destekliyor.
“Bu girişimler, bu sanal alanlardan ve uygulamalardan kaçmak için gereken beceri düzeyiyle orantılı olarak önemli ölçüde artan ödemeler görüyor ve birlikte, güvenilmeyen üçüncü taraf kodunun güvenlik açığı araştırmacılarının incelemesini aşma riskinin bir ışığını parlıyor.”
SOS.dev, Google Açık Kaynak Güvenlik Ekibi’nin sponsorluğunda ve 1 milyon dolarlık başlangıç finansmanıyla Linux Vakfı tarafından yürütülmektedir.
BUNU DA BEĞENEBİLİRSİN Swiss Post, e-oylama hata ödül programını yeniden başlattı