Google资助OSTIF对Git和Laravel等重要开源项目进行安全审查

Google在8月的时候,宣布要资助1亿美元,给帮助修复开源项目漏洞,并维护项目安全性的第三方基金会,现在Google套现部分这项承诺,宣布支持开源技术改进基金会(Open Source Technology Improvement Fund,OSTIF),来提高包括Git和Laravel在内的8大项目安全性。

Google所提供的资源,将使OSTIF能够提供托管审核计划(Managed Audit Program),这项计划会对重要项目,进行深入的安全性审核,第一轮选出的函数库、框架和应用程序,都对开源生态系统有举足轻重的地位,这些项目包括Git、Lodash、Laravel、Slf4j、Jackson-core和Jackson-databind以及Httpcomponents-core和Httpcomponents-client。

OSTIF官方提到,大型企业愿意捐助OSTIF,代表OSTIF进行安全审查和程序代码审核,来提升开源项目安全的模式是成功的。OSTIF集结经验丰富的团队,进行有针对性且大范围的审查,能够大幅改进这些被广泛使用的开源项目安全性,例如OSTIF就对用于保护网站的开源DNS解析器进行安全审查,总共修复了1个严重、5个高风险和5个中等风险的漏洞,总共进行了48项的改进,以全面提升其安全性。

Google的资助让OSTIF有能力执行托管审核计划,这项计划会从生态系统重要开源项目开始,研究人员经研究列出最初托管审核计划25个项目,再经由交叉参照OpenSSF安全计分卡,最后共同确定对8个项目进行安全改进,期望对开源生态系统产生深远的影响。