新的Mozilla基金将支付开源代码的安全审核
一个新的Mozilla基金,称为安全开源,旨在在发现软件中的Heartbleed和ShellShock等重大安全错误后提供开源代码的安全审核。
Mozilla已设置50万美元的初始基金,将用于向审计项目代码支付专业安全公司。该基金会还将与维持项目的人员合作,以支持和实施修复和管理披露,同时还支付核查补救措施,以确保确定已确定的错误。
最初的基金将涵盖一些广泛使用的开源库和程序的审核。
该举措是对企业,政府和教育机构的关键应用和服务越来越多的开源软件的认识。“从谷歌和微软到联合国,开源代码现在紧紧编织到能够为世界提供动力的软件的结构中。事实上,大部分互联网 - 包括支持它的网络基础设施 - 使用开源技术运行,“莫扎拉在星期四的博客帖子中的公共政策负责人克里斯莱西。
Mozilla希望使用开源的公司和政府将加入它并为该项目提供额外的资金。
在三件开源软件上的SOS程序的试验中,Mozilla表示,它发现并修复了43个错误,包括一个关键漏洞和与广泛使用的图像文件格式有关的两个问题。“这些初步结果证实了我们的投资假设,我们很高兴能够在为申请开放时学到更多信息,”Riley写道。
SOS基金“通过创造奖励来找到开源的错误并让人们修复他们来填补网络安全的严重差距,”战略和国际中心战略技术方案高级副总裁兼战略技术方案总监James A. Lewis表示在一个陈述中的研究。
支付人员在软件中找到错误,有时以挑战的形式,已成为常见的做法,许多公司包括Google在内的Gud Bounty计划。
Linux基金会具有核心基础设施倡议,该计划还旨在确保与亚马逊Web服务,思科,谷歌和Facebook这样的技术公司合作确保关键开源项目。在2014年4月建立的CII是对Heartbleed Bug的回应。
描述CII以“必要的,更深入的PE投资进入核心OS安全基础设施,就像在Openssl一样,”Mozilla表示,SOS的作用是互补的,因为它是目标“不同类别的OSS项目,具有较低的水果安全需求。 。“
SOS是较大计划的一部分,称为Mozilla开源支持,由Mozilla于去年10月推出,以支持开源和自由软件开发。苔藓的年度预算约为300万美元。
为了有资格获得SOS资金,软件必须是开源或自由软件,具有适当的许可和批准,必须积极维护。将考虑的一些其他因素是项目是否已经支持,多常用的软件,无论是网络面对还是定期处理不受信任的数据,并重视互联网或网络的持续运行的重要性。