Google сказал «SOS»: интернет-гигант поддержит новую программу вознаграждений

15.10.2021      10862

Компания Google объявила о поддержке пилотной программы вознаграждений за поиск уязвимостей в софте с открытым исходным кодом. Ее назвали SOS (Secure Open Source, безопасное открытое ПО).

Каковы масштабы поддержки

Количество багов в открытом ПО постоянно растет: в прошлом году оно увеличилось на 50%. Google, как и другие интернет-гиганты, в последние годы активизировал поддержку такого софта. На меры по повышению кибербезопасности такого софта компания направит 10 млрд долларов США. Из них 100 млн долларов пойдут на поддержку фондов, которые занимаются улучшением открытого ПО и поиском уязвимостей в опенсорс-платформах.

Непосредственным инициатором программы SOS является Linux Foundation – некоммерческий консорциум развития Linux. Google спонсирует это начинание: будет финансировать разработчиков, которые занимаются повышением безопасности критически важных проектов с открытым исходным кодом, от которых зависит значительная часть всего софта планеты. Кроме того, он поддержит специалистов, работающих над защитой поддерживающей инфраструктуры от атак на приложения и цепочки поставок.

На старте интернет-гигант выделит 1 млн долларов. В дальнейшем финансирование увеличат, опираясь на отзывы сообщества разработчиков.

Какие проекты будут финансировать

В Google рассказали об основных вопросах, ответы на которые позволили включить тот или иной проект в список критически важного софта с открытым кодом. В SOS решили опираться на принципы, установленные Национальным институтом стандартов и технологий, и степень влияния проекта на ИТ-индустрию в целом. В числе основных вопросов:

  • На скольких и каких пользователей повлияют улучшения безопасности?
  • Окажут ли улучшения существенное влияние на инфраструктуру и безопасность пользователей?
  • Если проект будет скомпрометирован, насколько серьезными или далеко идущими будут последствия?

Также эксперты учитывали, входит ли проект в число наиболее часто используемых пакетов по версии Havard 2 Census Study и имеет ли он оценку 0,6 или выше по шкале OpenSSF Critically Score.

Кто может рассчитывать на вознаграждение

Чтобы принять участие в программе, необходимо заполнить специальную форму. Чем больше данных или других подтверждений вы предоставите, тем проще будет экспертам оценить значимость всего проекта и ваших улучшений в нем.

Размер вознаграждения зависит от сложности и результативности работы:

  • От 10 тыс. долларов США получат авторы наиболее важных улучшений, которые практически наверняка предотвратят серьезные уязвимости в коде или вспомогательной инфраструктуре в долгосрочной перспективе.
  • На сумму 5-10 тыс. долларов могут рассчитывать специалисты, которые внесли в проект изменения, обеспечивающие существенные преимущества в плане безопасности.
  • 1-5 тыс. долларов выплатят авторам улучшений небольшой сложности и воздействия.
  • Наконец, 505 долларов вознаграждения предоставят за небольшие улучшения, которые, тем не менее, важны для проектов с точки зрения безопасности.

Кто еще запускает подобные проекты

Сообщество специалистов по кибербезопасности HackerOne в сентябре запустило программу поиска уязвимостей в опенсорс-проектах Internet Bug Bounty. Ее спонсируют Elastic, Facebook, Figma, GitHub, Shopify и TikTok.

В списке – важнейшее открытое ПО: язык Ruby, а также его фреймворк Ruby on Rails и система управления пакетами RubyGems, кроссплатформенная утилита cURL для сетевого взаимодействия, фреймворки Electron, Django, веб-сервер Nginx и криптографическая библиотека OpenSSL.

Специалистам, которые нашли и устранили уязвимости в этих проектах, выплатят до 5 тыс. долларов (конкретная сумма зависит от сложности и важности проблемы). 4/5 от суммы сразу получит тот, кто первым описал баг, а 1/5 – специалист, который занимается соответствующим направлением в проекте – но только после того, как решит проблему.


Автор:
Ксения Шестакова Обозреватель


В избранное Подписаться на ответы Сортировка: Дата
В этой теме еще нет сообщений.
Оставьте свое сообщение

См. также

Банк России добавил поддержку NFC-технологии в Систему быстрых платежей

Новость ИТ-новость Мобильные приложения Цифровая экономика

В Системе быстрых платежей (СБП) появилась возможность проводить бесконтактную оплату при помощи NFC-чипов смартфонов. Функция будет доступна при использовании приложения «СБПэй».

вчера в 17:11    1272    VKuser24342747    0       

В России начал работу отечественный магазин приложений NashStore

Новость Импортозамещение ИТ-новость Мобильные приложения

Приложение-маркетплейс для Android стало доступно для скачивания на официальном сайте. Магазин позиционируется как альтернатива Google Play.

17.05.2022    1525    VKuser24342747    9       

В России создадут единую систему хранения государственных данных

Новость ИТ-новость

Минцифры приступает к разработке ГосДата.хаба, который будет хранить в себе информацию от всех государственных учреждений. В 2024 году проект должен быть полностью реализован, а в 2023 году система будет запущена в опытную эксплуатацию.

16.05.2022    1459    Senator_I    3       

GitHub до конца 2023 года полностью перейдет на двухфакторную аутентификацию

Новость GitHub Безопасность ИТ-новость

Представители ИТ-хостинга GitHub сообщили, что к концу 2023 года активные разработчики, зарегистрированные на платформе, должны подключить функцию двухфакторной аутентификации.

12.05.2022    3783    VKuser24342747    0       

В России создан алгоритм принятия решений о необходимости обновления критичного ПО

Новость Безопасность ИТ-новость

Центр кибербезопасности РФ подготовил рекомендации по обновлению программ, критически важных для бизнеса. Ведомство рассказало, в каких случаях следует избегать автоматического обновления ПО.

21.04.2022    2280    VKuser24342747    0       

ИТ-отрасль представила Минцифры список приоритетных направлений поддержки

Новость ИТ-новость

Минцифры собирает сведения о том, какие российские решения для информационных систем нуждаются в первоочередной поддержке. ИТ-ассоциация представила собственный перечень.

15.04.2022    2567    VKuser24342747    1       

Для TLS 1.3 реализована поддержка российских стандартов шифрования

Новость Безопасность Интернет ИТ-новость

Реализация протокола TLS 1.3 с использованием российских защитных алгоритмов разработана компаниями «Криптонит» и «Криптоком». Применять его можно как расширение для OpenSSL 1.1.1.

16.03.2022    8286    VKuser24342747    1       

В GitHub добавили поддержку диаграмм

Новость GitHub ИТ-новость

В репозиториях сервиса GitHub теперь можно использовать диаграммы Mermaid. Этот формат гипертекстовой разметки легко освоить, чтобы создавать наглядные и аккуратные схемы. Такие изображения будут понятнее ASCII-диаграмм из отдельных символов.

24.02.2022    9547    user1015646    0       

Финализирован список новых возможностей Java 18

Новость ИТ-новость Языки программирования

Намеченный на 22 марта 2022 года релиз Java 18 находится во второй фазе стабилизации. В новой версии языка появится несколько возможностей в виде превью и инкубаторов для тестирования.

14.02.2022    7762    VKuser24342747    2       

В России разработали открытую операционную систему «Фантом» на собственном микроядре

Новость ОС Импортозамещение ИТ-новость

Подавляющее большинство операционных систем, над которыми работают российские компании, создаются на ядре GNU/Linux. Возможно, у них наконец-то появится конкурент: DZ Systems представила ОС «Фантом», микроядро которой написано «с нуля».

02.02.2022    6298    user1015646    2       

Let's Encrypt отозвал 2 миллиона сертификатов из-за нарушений в коде

Новость Безопасность Интернет ИТ-новость

Поставщик HTTPS-сертификатов сообщил об обнаружении выпущенных ненадлежащим образом электронных документов. Ошибка произошла из-за исправлений в программном обеспечении.

02.02.2022    6119    VKuser24342747    0       

Разработчики представили три новые версии Python

Новость ИТ-новость Языки программирования

Python – язык с очень низким порогом входа. Вместе с тем за простоту синтаксиса приходится платить производительностью. В начале года вышло три новые версии языка, которые призваны сохранить его простоту, но вместе с тем ускорить работу программ.

01.02.2022    15110    user1015646    7       

Google представила новый сервис на замену непопулярной технологии FLoC

Новость Безопасность Интернет ИТ-новость

Google продолжает попытки создать альтернативу файлам cookies при таргетировании рекламы. После критики технологии FLoC компания разработала другой сервис, который будет выяснять любимые темы пользователя.

01.02.2022    7077    VKuser24342747    0       

Ученые добились рекордной точности вычислений на квантовом компьютере

Новость ИТ-новость

На квантовые компьютеры возлагают большие надежды. Ученые из Австралии, Голландии и Японии независимо друг от друга добилась на практике точности квантовых вычислений выше 99%.

31.01.2022    6413    user1015646    0       

Samsung разработала модуль биометрической аутентификации для смарт-карт

Новость ИТ-новость Новости компаний

Samsung представила чип биометрической защиты, который может быть установлен в банковские карты. Разработка объединяет в себе различные элементы безопасности, ранее наносимые на саму карту.

28.01.2022    7405    VKuser24342747    0       

Apple отложила требование об обязательном удалении аккаунтов в приложениях

Новость Безопасность ИТ-новость Мобильные приложения Новости компаний

Apple в очередной раз перенесла сроки вступления в силу новых правил App Store. В них прописано новое требование для всех разработчиков: добавить в приложение возможность удалять аккаунт.

27.01.2022    11012    VKuser24342747    0       

Google назвала пять трендов машинного обучения в 2021 году

Новость Google Искусственный интеллект ИТ-новость

Google провела исследование, в котором озвучила ключевые направления развития индустрии машинного обучения (МО) в 2021 году. Компания ожидает в ближайшие годы научных прорывов в отрасли.

27.01.2022    15413    VKuser24342747    0       

Исходный код модели Facebook XLS-R выложили в интернет

Новость Искусственный интеллект ИТ-новость Новости компаний

Одна из самых мощных многоязычных моделей распознавания речи XLS-R теперь доступна всем разработчикам. Facebook опубликовала исходный код решения на GitHub и Hugging Face.

27.01.2022    7256    user1015646    0       

Компания OPPO подготовила концепцию устройств без аккумуляторов

Новость Инновации ИТ-новость Новости компаний

Китайский производитель смартфонов OPPO опубликовал доклад, в котором представил идею зарядки IoT-устройств от сигналов мобильных телефонов, Bluetooth и сетей Wi-Fi.

26.01.2022    5442    VKuser24342747    2       

Минцифры разработает единый стандарт для умных многоквартирных домов

Новость ИТ-новость Минкомсвязь Цифровая экономика

Минцифры совместно с другими ведомствами и представителями ИТ-отрасли намерено представить общие правила предоставления сервисов умного дома, чтобы добиться единообразия приложений.

24.01.2022    6621    VKuser24342747    0       

Visa разработала способ превратить почти любое устройство в POS-терминал

Новость ИТ-новость Новости компаний Онлайн-торговля

Visa запустила платформу, которая позволяет большинству популярных устройств подключаться к облаку и функционировать как платежный терминал. Решение уже доступно для тестирования в шести регионах.

21.01.2022    6939    VKuser24342747    0       

Число патентов на нейросетевые технологии показало взрывной рост

Новость Искусственный интеллект ИТ-новость

Агрегатор патентных данных IFI Claims провел исследование рынка, что узнать: какие страны и компании наиболее активно регистрируют права на изобретения в области компьютерных систем, основанных на биологических моделях.

20.01.2022    5149    VKuser24342747    0       

Nvidia обновила программу для генерации пейзажей при помощи ИИ

Новость Искусственный интеллект ИТ-новость

Новая версия графического редактора Nvidia Canvas, создающего изображения по примитивному наброску, поддерживает высокое разрешение картинок и предлагает больше материалов.

19.01.2022    7701    VKuser24342747    0       

Производитель «Эльбрусов» раскритиковал отсрочку внедрения российских процессоров

Новость Импортозамещение ИТ-новость

Компания «МЦСТ», выпускающая российские процессоры «Эльбрус», опасается угрозы нацбезопасности после ввода балльной системы оценки для отечественной радиоэлектроники.

18.01.2022    6427    VKuser24342747    0       

Сводит олдскулы: культовую игру Prince of Persia перенесли в браузер

Новость

Энтузиаст Оливер Клеменц портировал одну из любимых игр детства на современные компьютеры, планшеты и смартфоны – чтобы сыграть в нее сегодня, достаточно открыть браузер.

18.01.2022    7391    user1015646    1