谷歌宣布承诺投入 1 亿美元用于提高开源项目的安全性。它透露它正在与开源技术改进基金 (OSTIF) 合作来做到这一点。这两个实体将共同启动管理审计计划 (MAP)。通过这一举措,他们将增加对世界各地人们广泛使用的开源项目的安全审查和审计的深度。
目前,谷歌已承诺管理安全优先级并帮助修复八个开源项目中的缺陷。这些是:
- 吉特
- 洛达什
- Laravel
- Slf4j
- 杰克逊核心
- Jackson-databind
- Httpcomponents-核心
- Httpcomponents-客户端
在评论合作伙伴关系时,OSTIF 表示:
我们要感谢 Google 开源安全团队帮助我们扩大影响,不仅可以发现错误,还可以修复整个开源生态系统中的问题。从这里开始,我们希望在未来几年内显着发展业务以支持数百个项目。为了实现这一目标,我们需要依赖此基础设施的社区的支持,并改进我们的数据以针对我们工作的最佳项目。最后,我们相信这些共同努力将为每个人带来一个更安全的开源环境。
重要的是要注意MAP 项目的初始列表有 24 个项目,它们也包含诸如 Electron、React Native、Rails、Joomla 和 Angular 等值得注意的条目。但是,由于尚未获得资金,它们可能会被纳入后续几轮 MAP。
