Google資助OSTIF對(duì)Git和Laravel等重要開(kāi)源項(xiàng)目進(jìn)行安全審查

Google在8月的時(shí)候，宣布要資助1億美元，給幫助修復(fù)開(kāi)源項(xiàng)目漏洞，并維護(hù)項(xiàng)目安全性的第三方基金會(huì)，現(xiàn)在Google套現(xiàn)部分這項(xiàng)承諾，宣布支持開(kāi)源技術(shù)改進(jìn)基金會(huì)（Open Source Technology Improvement Fund，OSTIF），來(lái)提高包括Git和Laravel在內(nèi)的8大項(xiàng)目安全性。

Google所提供的資源，將使OSTIF能夠提供托管審核計(jì)劃（Managed Audit Program），這項(xiàng)計(jì)劃會(huì)對(duì)重要項(xiàng)目，進(jìn)行深入的安全性審核，第一輪選出的函數(shù)庫(kù)、框架和應(yīng)用程序，都對(duì)開(kāi)源生態(tài)系統(tǒng)有舉足輕重的地位，這些項(xiàng)目包括Git、Lodash、Laravel、Slf4j、Jackson-core和Jackson-databind以及Httpcomponents-core和Httpcomponents-client。

OSTIF官方提到，大型企業(yè)愿意捐助OSTIF，代表OSTIF進(jìn)行安全審查和程序代碼審核，來(lái)提升開(kāi)源項(xiàng)目安全的模式是成功的。OSTIF集結(jié)經(jīng)驗(yàn)豐富的團(tuán)隊(duì)，進(jìn)行有針對(duì)性且大范圍的審查，能夠大幅改進(jìn)這些被廣泛使用的開(kāi)源項(xiàng)目安全性，例如OSTIF就對(duì)用于保護(hù)網(wǎng)站的開(kāi)源DNS解析器進(jìn)行安全審查，總共修復(fù)了1個(gè)嚴(yán)重、5個(gè)高風(fēng)險(xiǎn)和5個(gè)中等風(fēng)險(xiǎn)的漏洞，總共進(jìn)行了48項(xiàng)的改進(jìn)，以全面提升其安全性。

Google的資助讓OSTIF有能力執(zhí)行托管審核計(jì)劃，這項(xiàng)計(jì)劃會(huì)從生態(tài)系統(tǒng)重要開(kāi)源項(xiàng)目開(kāi)始，研究人員經(jīng)研究列出最初托管審核計(jì)劃25個(gè)項(xiàng)目，再經(jīng)由交叉參照OpenSSF安全計(jì)分卡，最后共同確定對(duì)8個(gè)項(xiàng)目進(jìn)行安全改進(jìn)，期望對(duì)開(kāi)源生態(tài)系統(tǒng)產(chǎn)生深遠(yuǎn)的影響。