Escopo do projeto SOS é comparativamente mais amplo do que outros tipos de recompensa por bugs, no intuito de apoiar os desenvolvedores de projetos
O Google anunciou, na última sexta-feira (01), seu apoio ao programa piloto Secure Open Source (SOS), da Linux Foundation, que recompensa financeiramente os desenvolvedores por aumentarem a segurança de projetos críticos de código aberto. Com investimento inicial de US$ 1 milhão, a gigante de buscas disse que planeja expandir o escopo do programa com base no feedback da comunidade de código aberto.
O Google vem fazendo uma série de investimentos para fortalecer a segurança de projetos críticos de código aberto, desde 2020. Recentemente, a empresa anunciou o compromisso de US$ 10 bilhões com a defesa da segurança cibernética – iniciativa promovida pela Casa Branca, depois de uma série de ataques críticos de infraestrutura nos Estados Unidos.
Neste pacote, inclui-se US$ 100 milhões para apoiar fundações terceirizadas que gerenciam as prioridades de segurança de código aberto e ajudam a corrigir vulnerabilidades, segundo Meder Kydyraliev e Kim Lewandowski, da equipe de segurança de código aberto do Google, em postagem no blog da empresa.
Em vez de uma recompensa por bugs, o investimento no SOS busca resolver possíveis problemas de segurança antes que se tornem bugs, através de melhorias no software de proteção contra ataques, destaca uma publicação do site ZDNet.
Essa urgência, destacada no programa de defesa da Casa Branca, ocorreu após o ataque à SolarWinds, que, embora não tenha sido o primeiro do tipo, é considerado o “maior e mais sofisticado ataque que o mundo já viu”, segundo Brad Smith, Presidente da Microsoft. Até 18.000 clientes que usavam o software de monitoramento de rede Orion podem ter sido vítimas do ataque.
“O SOS recompensa uma ampla gama de melhorias que protegem proativamente os projetos críticos de código aberto e a infraestrutura de suporte contra ataques de aplicativos e cadeia de suprimentos. Para complementar os programas existentes que recompensam o gerenciamento de vulnerabilidades, o escopo do SOS é comparativamente mais amplo no tipo de trabalho que recompensa, a fim de apoiar os desenvolvedores de projetos”, explicam Kydyraliev e Lewandowski.
Como não há uma definição do que torna um projeto de código aberto crítico, o Google diz que o processo de recompensa será “holístico”, considerando as diretrizes estabelecidas pela definição do Instituto Nacional de Padrões e Tecnologia em resposta à recente Ordem Executiva de Cibersegurança da Casa Branca, entre outros critérios de impacto.
Os valores das recompensas são determinados com base na complexidade e no impacto do trabalho, variando de US$ 505 “para pequenas melhorias que tenham mérito do ponto de vista de segurança, a US$ 10.000 ou mais para “melhorias complexas, de alto impacto e duradouras que quase certamente evitam vulnerabilidades importantes no código afetado ou na infraestrutura de suporte”.
Para melhorias moderadamente complexas, que oferecem benefícios de segurança atraentes, as recompensas variam de US$ 5.000 a US$ 10.000. Enquanto será pago de US$ 1.000 a US$ 5.000 para envios de complexidade e impacto modestos, de acordo com o Google.
Somente o trabalho concluído após 1º de outubro de 2021 se qualifica para as recompensas SOS. Todos os novos envios de recompensas para o projeto serão avaliados pela Linux Foundation e pelo Google Open Source Security Team (GOSST).
“Este investimento de US$ 1 milhão é apenas o começo – imaginamos o programa piloto SOS como o ponto de partida para esforços futuros que, esperançosamente, reunirão outras grandes organizações e as transformarão em uma iniciativa sustentável de longo prazo sob o OpenSSF”, escreveram os autores do comunicado.
Com informações do ZDNet
