2min

Onlangs introduceerde de Linux Foundation een bountyprogramma (Secure Open Source) voor het versterken van de beveiliging van veelgebruikte open source projecten. Nu stelt Google 1 miljoen dollar (ongeveer 860.000 euro) beschikbaar voor het fonds vanwaaruit deelnemende ontwikkelaars worden beloond voor een succesvolle bijdrage aan het programma.

Secure Open Source draait niet hoofdzakelijk om het squashen van bugs. De Linux Foundation nodigt iedere denkbare ontwikkelaar uit om kwetsbaarheden in open source projecten te vinden en verhelpen, ook wanneer een kwetsbaarheid zich in een dusdanig vroeg stadium bevindt dat er nog geen sprake van een ‘bug’ is.

Waaraan voldoet een ‘critical open source’-project?

De instapdrempel wijkt af van projecten die normaliter onder de noemer ‘bountyprogramma’ beschreven worden. Deelnemers hoeven zich niet op een vooraf gedefinieerd besturingssysteem of apparaat te richten. Securityverbeteringen in elk ‘critical open source’-project komen in aanmerking voor de prijzenpot die vandaag door Google werd gespekt. Dergelijke projecten zijn losjes ingekaderd, en worden bij elke aanmelding geëvalueerd op basis van de NIST-definitie van ‘Critical Software’.

Waaraan voldoet een ‘verbetering’?

De voorwaarden waaraan een securityverbetering moet voldoen om in aanmerking te komen voor een beloning, staan iets vaster in steen dan het betreffende open source project. Het verstevigen van CI/CD piplines en distribution infrastructuren, de invoer van software artifact signing en verbeteringen die leiden tot een hogere score op de OpenSSF Scorecard zijn een greep uit de voorwaarden die de Linux Foundation vermeldt.

De hoogte van een uitbetaalde bounty hangt af van de impact van een securityverbetering. Kleine verbeteringen worden met 505 dollar beloond, onafhankelijk van impact. Serieuze, impactvolle verbeteringen komen in aanmerking voor de hoofdprijs van 10.000 dollar.

Follow the money

Google’s miljoeneninvestering in de prijzenpot is een van de gevolgen van een investeringsronde die op 26 augustus 2021 werd verzekerd door het Amerikaanse kabinet. In reactie op een reeks Amerikaanse cyberaanvallen – waaronder de SolarWinds-aanvallen waarover we eerder rapporteerden – zocht het kabinet steun bij de grootste technologiebedrijven van het moment. Google zei 10 miljard dollar toe, binnen vijf jaar tijd te verdelen over uiteenlopende securityprogramma’s. Daaronder: het eerdergenoemde Secure Open Source.