启动安全开源奖励计划以帮助保护关键的上游软件

Secure Open Source Rewards将根据NIST对“关键软件”的定义以及安全改进的程度和受益的用户数量来挑选符合条件的项目。

支持者还将考虑该项目的任何妥协的严重性，以及该项目在开源关键性研究中的排名，包括 最常用包的哈佛2人口普查研究和OpenSSF关键性评分项目排名。

Secure Open Source Rewards正在寻找供应链安全改进、提供更高OpenSSF关键性记分卡结果的改进、采用软件工件签名和验证以及其他最佳实践措施。

随着SOS.dev的发展，其他改进将被添加到目标中。

安全开源奖励计划不同于传统的漏洞赏金计划，因为它涵盖了项目开发人员的安全改进，而不仅仅是漏洞。

它还将为希望进行长期安全改进的项目提供有限的前期资金。

该计划是在组织开始升级关键基础设施和应用程序的安全性之际推出的。更多的注意力集中在软件供应链上，包括整个生态系统中重要的开源组件的作用。

“许多商业和开源解决方案，包括CNI使用的解决方案，都依赖于包括OpenSSL和Log4j在内的开源库来运行关键基础设施，我们过去曾看到这些库的多次攻击，”ISACA新加坡分会总裁Steven Sim和OT-ISAC执行委员会主席说。

“如果我们现在不对这些致命弱点采取任何措施，我们将继续看到由于软件供应链攻击而导致的大规模违规行为。”

ControlPlane首席执行官兼OpenUK首席信息安全官Andrew Martin补充说：“供应链安全始于最初的贡献者及其编码实践、计算环境和构建系统的安全性。

“组织需要了解开发和生产系统中的所有组件，包括开源。

“Linux基金会的OpenSSF和CNCF TAG安全组分别专注于关键软件和云原生软件，SOS.dev占据了更多以开发人员为中心的空间，并得到了谷歌GOSST团队的额外支持。

“后者还支持基于Kubernetes的kCTF漏洞奖励计划(VRP)，该计划旨在向研究人员支付逃逸容器和攻击Linux内核的费用。

“这些举措的支出与逃离这些沙箱和应用程序所需的技能水平相称，它们共同揭示了不受信任的第三方代码越过漏洞研究人员审查的风险。”

SOS.dev由Linux基金会在谷歌开源安全团队的赞助下运行，初始资金为100万美元。