Google資助OSTIF對Git和Laravel等重要開源項(xiàng)目進(jìn)行安全審查

Google在8月的時候，宣布要資助1億美元，給幫助修復(fù)開源項(xiàng)目漏洞，并維護(hù)項(xiàng)目安全性的第三方基金會，現(xiàn)在Google套現(xiàn)部分這項(xiàng)承諾，宣布支持開源技術(shù)改進(jìn)基金會（Open Source Technology Improvement Fund，OSTIF），來提高包括Git和Laravel在內(nèi)的8大項(xiàng)目安全性。

Google所提供的資源，將使OSTIF能夠提供托管審核計(jì)劃（Managed Audit Program），這項(xiàng)計(jì)劃會對重要項(xiàng)目，進(jìn)行深入的安全性審核，第一輪選出的函數(shù)庫、框架和應(yīng)用程序，都對開源生態(tài)系統(tǒng)有舉足輕重的地位，這些項(xiàng)目包括Git、Lodash、Laravel、Slf4j、Jackson-core和Jackson-databind以及Httpcomponents-core和Httpcomponents-client。

OSTIF官方提到，大型企業(yè)愿意捐助OSTIF，代表OSTIF進(jìn)行安全審查和程序代碼審核，來提升開源項(xiàng)目安全的模式是成功的。OSTIF集結(jié)經(jīng)驗(yàn)豐富的團(tuán)隊(duì)，進(jìn)行有針對性且大范圍的審查，能夠大幅改進(jìn)這些被廣泛使用的開源項(xiàng)目安全性，例如OSTIF就對用于保護(hù)網(wǎng)站的開源DNS解析器進(jìn)行安全審查，總共修復(fù)了1個嚴(yán)重、5個高風(fēng)險(xiǎn)和5個中等風(fēng)險(xiǎn)的漏洞，總共進(jìn)行了48項(xiàng)的改進(jìn)，以全面提升其安全性。

Google的資助讓OSTIF有能力執(zhí)行托管審核計(jì)劃，這項(xiàng)計(jì)劃會從生態(tài)系統(tǒng)重要開源項(xiàng)目開始，研究人員經(jīng)研究列出最初托管審核計(jì)劃25個項(xiàng)目，再經(jīng)由交叉參照OpenSSF安全計(jì)分卡，最后共同確定對8個項(xiàng)目進(jìn)行安全改進(jìn)，期望對開源生態(tài)系統(tǒng)產(chǎn)生深遠(yuǎn)的影響。