The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Google выделил миллион долларов на работу по повышению безопасности открытого ПО

02.10.2021 21:25

Компания Google представила инициативу Secure Open Source (SOS), в рамках которой будет организована выплата премий за проведение работ, связанных с усилением безопасности критически важного открытого ПО. На первые выплаты выделен миллион долларов, но если инициатива будет признана успешной инвестирование в проект будет продолжено.

Предусмотрены следующие премии:

  • $10000 и больше - за внесение сложных, имеющих большое значение и актуальных в долгосрочной перспективе улучшений, обеспечивающих защиту от серьёзных уязвимостей в коде или инфраструктуре открытых проектов.
  • $5000-$10000 - для улучшений средней сложности, положительно влияющих на безопасность.
  • $1000-$5000 для улучшений умеренной сложности, повышающих безопасность.
  • $505 - для небольших улучшений, усиливающих безопасность.

Заявки на получение вознаграждения принимаются только для изменений, принятых в состав проектов с уровнем критичности не ниже 0.6 по рейтингу OpenSSF Critically Score или входящих в список проектов, требующих особой проверки безопасности. Характер предлагаемых изменений должен быть связан с повышением безопасности в таких областях как усиление защиты элементов инфраструктуры (например, процессов непрерывной интеграции и распространения выпусков), внедрение систем верификации по цифровым подписям компонентов программного продукта, повышение уровня продукта (рецензирование, защита веток, Fuzzing-тестирование, защита от атак через зависимости).

  1. Главная ссылка к новости (https://security.googleblog.co...)
  2. OpenNews: Google профинансирует аудит безопасности 8 важных открытых проектов
  3. OpenNews: Google профинансирует добавление поддержки Rust в ядро Linux
  4. OpenNews: Google профинансирует работу по повышению безопасности ядра Linux
  5. OpenNews: Google занялся продвижением средств безопасной работы с памятью в открытом ПО
  6. OpenNews: Google представил рейтинг критически важных открытых проектов
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/55901-google
Ключевые слова: google, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (62) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Анони (?), 21:53, 02/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +14 +/
    "Бойся данайцев дары приносящих."
     
     
  • 2.5, Аноним (5), 22:01, 02/10/2021 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Вот как-то в точку. И добавить нечего. Навязчивое рекламное агентство и аномальный зондер выдаёт себя за борца в сфере безопасности...
     
     
  • 3.18, анонн (ok), 23:35, 02/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Вот как-то в точку. И добавить нечего. Навязчивое рекламное агентство и аномальный
    > зондер выдаёт себя за борца в сфере безопасности...

    Логично, что после многих лет вкладывания миллиардов в браузер и его продвижение, поисковики-всякие-сервисы-мобильные-платформы и инфраструктуру для тщательного сбора и классификации данных о пользователях, дыры и всякие обходные пути для "конкурентов" гуглу никуда не уперлись.
    Все заинтересованные во всяческой аналитике по пользователям, целевой рекламе и прочем - должны "do the right thing", т.е. нести денежку исключительно гуглу.

     
     
  • 4.20, Аноним (-), 00:05, 03/10/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Со всеми согласен Гугел это волк в овечей шкуре Тем более как бы документы Сно... большой текст свёрнут, показать
     
     
  • 5.28, Аноньимъ (ok), 02:32, 03/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Давно он не в овечей. Сколько лет назад они убрали "don't be evil"?
     
     
  • 6.35, Аноним (35), 03:07, 03/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Сразу как сказали - перестали соответствовать
    Хороших людей не волнует, на сколько они хорошие
     
  • 5.53, Аноним (53), 17:40, 03/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > ..._ПОЛНОСТЬЮ_ открытое железо (сообщество это изучить под микроскопом)

    Никакой из относительно современных производительных процессоров "изучить под микроскопом" сообщество не сможет. Это раз.
    Ничто не мешает полупроводниковой фабрике сначала выпустить "чистый" процессор, а затем, в новых партиях, внедрить туда "закладку". Это два.

     
  • 2.21, QwertyReg (ok), 00:26, 03/10/2021 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Правильно. И пусть Linux целиком состоит из вклада таких компаний, как Google, Samsung, Microsoft, Intel и IBM, нас не проведёшь, это всё какой-то дьявольский план по порабощению Linux.
     
     
  • 3.24, Аноним (35), 02:03, 03/10/2021 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Простые люди там совсем ничего не сделали, ага
    Только корпорасты, помолимся за них
     
     
  • 4.33, QwertyReg (ok), 02:48, 03/10/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > Простые люди там совсем ничего не сделали, ага
    > Только корпорасты, помолимся за них

    Это вот эти жалкие 10% вы называете вкладом?
    https://www.opennet.dev/opennews/art.shtml?num=41685

     
     
  • 5.34, Аноним (35), 03:05, 03/10/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    А что там суперценного в корпоративных 90%?
    Системда?
    Дрова?
    Правки ядра под ведро?
    Правки ядра под свою модель бизнеса?
    Гендерное и расовое многообразие + толерантность?

    И да ссыль на 2015 год
    С тех пор % параши только вырос

     
     
  • 6.37, Аноним (37), 04:39, 03/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так тот процент это драйвера в основном. Ну подумаешь увеличилось количество бесполезного. Вон ядро 5.15 за раз разрослось дичайши, и норм. Это никак не влияет на самосборное ядро под свою систему. Все также будет выкинут почти весь этот хлам. Или что? Мандатный доступ кому-то впился на десктопе? Серьезно что-ли? Может еще и Coreboot оживет? Там безопасность от UEFI зондов гарантирована. Им бы 90% этой суммы пошло на пользу. Остальные 10% на разработку железок чтобы дружили с Libreboot. Но я готов спорить, что все пойдет уродцам, закрывшым банальные дыры безопасности в используемом ПО.
     
     
  • 7.42, Аноним (42), 08:49, 03/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Т.е. корпорации сделали то что могли сделать только они для своих проприетарных железок, за это мы должны типа говорить им спасибо. Если кто-то так действительно считает ему нельзя смотреть телевизор.  
     
     
  • 8.56, ryoken (ok), 09:00, 04/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    10 лет не смотрю и вообще у меня его просто НЕТ Дома время можно провести с бол... текст свёрнут, показать
     
  • 7.44, СеменСеменыч777 (?), 09:17, 03/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Мандатный доступ кому-то впился на десктопе?

    А ТО !
    как иначе запускать жырные блобы из недоверенных источников (skype, 1c, под wine всякое ...) ?

     
  • 2.29, Аноньимъ (ok), 02:34, 03/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Мозг улья. Удваиваю эту карту.
     
  • 2.50, anonymous (??), 12:49, 03/10/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Причём тут дары? Это просто предложения о работе (притом весьма тяжёлой и высококвалифицированной).
     

  • 1.2, Гаврюша (?), 21:57, 02/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Google выделил миллион долларов на работу по повышению безопасности открытого ПО

    Значит капут будет всей безопасности.

     
     
  • 2.6, And (??), 22:01, 02/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Без-ть будет очень Ок. Но только во вред домашнему хозяйству. Самому важному на планете...
     
  • 2.9, псевдонимус (?), 22:14, 02/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Маловато для капута всего.
     

  • 1.3, And (??), 22:00, 02/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот заменить текстовые ключи на бинарные зачем-то они догадались. (Gpg ключи к Apt репо "ихневых" продуктов.) Теперь в Гит коммитить эти бинари? Или скриптовать туда сюда конверсию... CI они вишь ли озаботились, без-стью.

    Пока Хухлу в листы порицаемых, критикуемых, отвергаемых.

     
     
  • 2.7, Аноним (7), 22:02, 02/10/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Бинарные ключи лучше base64. Небинарные, разумеется, могут быть против такой формулировки.
     
     
  • 3.54, And (??), 20:32, 03/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Бинарные ключи лучше base64. Небинарные, разумеется, могут быть против такой формулировки.

    И пишешь обвязку для перегонки ключей в текст и обратно в бинари при деплое. Поддерживаешь код там, где не нужно.

    С этими людьми уже не по дороге.

     

  • 1.4, Аноним (7), 22:00, 02/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    >Google выделил миллион долларов

    Жалкие копейки.

     
     
  • 2.22, QwertyReg (ok), 00:31, 03/10/2021 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Ты такой суммы за всю жизнь не соберёшь даже в третьем поколении.
     
     
  • 3.26, ДаНуНафиг (?), 02:15, 03/10/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Какая разница, сколько он заработает? 1 млн - это 200 выплат по 5000. Если представить себе всё открытое ПО, а не один проект, - а именно об этом идет речь - то вообще ни о чем ведь.
     
  • 3.27, ДаНуНафиг (?), 02:18, 03/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Может и соберет, кстати. Получая зарплату в 2100$ через 40 лет набирается 1.008.000$
     
     
  • 4.31, QwertyReg (ok), 02:40, 03/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Линуксоид? 2100%? Ха, чёрточка, ха, чёрточка, ха.
     
  • 4.32, QwertyReg (ok), 02:41, 03/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Может и соберет, кстати. Получая зарплату в 2100$ через 40 лет набирается
    > 1.008.000$

    А питаться 40 лет он чем будет? Мозолями?

     
     
  • 5.40, Аноним (40), 08:31, 03/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    тимбилдингами
     
  • 3.39, Аноним (39), 07:43, 03/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    По себе судишь. Впрочем, умом ты никогда не выделялся.
     
  • 3.43, Аноним (42), 08:52, 03/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Работу себе нормальную найди просто. А если умом не вышел, то зачем ты тут комментарии пишешь?
     

  • 1.8, псевдонимус (?), 22:12, 02/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Лучше найденное продать в даркнете. С гугловцами жить, по-гугловски действовать.

    Хотя не удивлюсь, если сам гомнугль и выступит покупателем(

     
     
  • 2.11, макпыф (ok), 22:29, 02/10/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    можно и то и другое сразу сделать
     

  • 1.10, Просто Ваня (?), 22:21, 02/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Купить хотят!
     
     
  • 2.25, Аноним (35), 02:06, 03/10/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Неа
    Пусть все желающие поработают
    Некоторым заплатим
     

  • 1.12, Аноним (12), 22:35, 02/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    А на свой дырявый, хромающий бравзир они не хотят выделить? Скоро вынь 10 по сесурным багам догонят. Осталось чуток.
     
  • 1.13, Аноним (13), 22:46, 02/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В чём интерес гугла? Всего лишь самопиар? Кто в теме?
     
     
  • 2.15, псевдонимус (?), 23:03, 02/10/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Починить вполцены. Аутсорс. Сейчас все большие компании так делают и во всех сферах.
     
     
  • 3.57, InuYasha (??), 11:53, 04/10/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    И не надо оплачивать сотрудникам ничего кроме "вознаграждения" - страховки, налоги, отчисления, медицина, транспорт...
     
     
  • 4.58, псевдонимус (?), 16:18, 04/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вот-вот.
     
  • 2.16, псевдонимус (?), 23:11, 02/10/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ещё можно какой-нибудь гниде заплатить, чтобы решения нужные Гуглу проталкивал.
     
     
  • 3.51, Аноним (51), 15:29, 03/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Например, торвальдсу, за раст в ядре
     
     
  • 4.52, псевдонимус (?), 16:21, 03/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Например, торвальдсу, за раст в ядре

    Судя по деятельности растонаркоманов это сломает многим коммерческим компаниям работающие решения. Поэтому найн!

     

  • 1.14, Ordu (ok), 23:02, 02/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > $10000 и больше - за внесение сложных, имеющих значительное значение и актуальных в долгосрочной перспективе улучшений, обеспечивающих защиту от серьёзных уязвимостей в коде или инфраструктуре открытых проектов.

    Налетай! Переписывай всё на расте!

     
     
  • 2.17, Аноним (17), 23:16, 02/10/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    до растафилии: FF - 90%
    после: FF - 1% ...
     

  • 1.19, Аноним (12), 23:51, 02/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А хромого ржавчина поразит или игогошечкой вывезут, как считаете?
    Вроде ж раст от конкурента.
     
     
  • 2.47, Аноним (42), 10:54, 03/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    У раста такой синтаксис что на нём можно писать только говнокод. А но го можно кодогенерировать что угодно. Так что го лучший. Выбор но гугл конечно же его использовать не будут это же разные команды разработки.  
     

  • 1.23, Аноним (23), 01:09, 03/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    как-будто деньгами это можно решить
     
     
  • 2.30, Аноньимъ (ok), 02:39, 03/10/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Уже ничего не решат, последние триллионы за полгода потратят на "зелёную" энергию закрыв все ядерные станции.

    У меня есть плохие новости, мы построили вам цифровой ГУЛАГ.

    Но есть и хорошие. Электричества в нём не будет.

     

  • 1.36, Аноним (37), 04:33, 03/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Очень напоминает ход Apple когда они вдруг обновили древние устройства много лет заброшенные потому что их инфраструктуру хакали все кому не лень. Хочется же защититься от школьников и меньше вкладывать в толпу специалистов по безопасности закрыв дыры откуда постоянно проблемы возникают. Андроид такой андроид. А то их гуглосервисы с рекламой багованные и каждый не совсем честный разработчик стремится впихнуть какую-то дичь со своей телеметрией, а это потери репутации и денег. Надо перечестнить нечестных продавцов персональных данных! Догнать и перегнать за пятилетку! Ура товарищи!
     
     
  • 2.45, СеменСеменыч777 (?), 09:31, 03/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > нечестных продавцов персональных данных!

    цукербук что ли ?

     
  • 2.46, iPony129412 (?), 10:04, 03/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Очень напоминает ход Apple когда они вдруг обновили древние устройства много лет заброшенные потому что их инфраструктуру хакали все кому не лень.

    Какие-то фантазии.
    А так много какие компании выпускают обновления для критических багов.
    Есть конечно те, которым плевать совсем…

     

  • 1.38, n (??), 05:09, 03/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    то есть платят за встраивание всюду зондов, что за помойка
     
     
  • 2.48, Аноним (42), 10:59, 03/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Проверяют хорошо ли ищутся уже вставленные зонды.
     

  • 1.41, Аноним (-), 08:41, 03/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Уточните пожалуйста, на копилефтный софт они выделили деньги.
     
  • 1.49, Gentoo Developer (?), 11:50, 03/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Отличная инициатива. Молодцы Google
     
  • 1.55, Wilem82 (ok), 21:54, 03/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Даже в небогатых странах 10к баксов - это пара месяцев работы программиста. То есть они платят только за то, что можно быстро и безболезненно поправить.
     
  • 1.63, Аноним (63), 12:08, 05/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > внедрение систем верификации по цифровым подписям компонентов программного продукта,

    Лучше пусть проспонсируют аппаратные хранилища PGP ключей для всех желающих разрабов СПО:

    https://www.nitrokey.com/news/2018/nitrokey-partners-linux-foundation-equip-al

    https://www.nitrokey.com/news/2019/nitrokey-partners-gentoo-foundation-equip-d

    https://www.nitrokey.com/news/2021/nitrokey-equips-arch-linux-developers-usb-k

     
  • 1.64, Аноним (64), 12:17, 05/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Члены (и не члены) СПО очень любят денюжки. Особливо крупных корпораций. Главное карман.
    А шBaбoдa дело десятое.
     
  • 1.65, Вася (??), 15:19, 05/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Группа лиц по предварительному сговору вносит баг опасный.
    Потом его фиксит и получает премию, делит.
    Или не получает, и вносит про запас 10 новых что-бы попробовать снова.
     
  • 1.66, Аноним (66), 22:48, 07/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Чёт тут все комменты от какихто душных бабок.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру