Google資助OSTIF對Git和Laravel等重要開源項目進行安全審查

Google在8月的時候，宣布要資助1億美元，給幫助修復開源項目漏洞，并維護項目安全性的第三方基金會，現(xiàn)在Google套現(xiàn)部分這項承諾，宣布支持開源技術(shù)改進基金會（Open Source Technology Improvement Fund，OSTIF），來提高包括Git和Laravel在內(nèi)的8大項目安全性。

Google所提供的資源，將使OSTIF能夠提供托管審核計劃（Managed Audit Program），這項計劃會對重要項目，進行深入的安全性審核，第一輪選出的函數(shù)庫、框架和應用程序，都對開源生態(tài)系統(tǒng)有舉足輕重的地位，這些項目包括Git、Lodash、Laravel、Slf4j、Jackson-core和Jackson-databind以及Httpcomponents-core和Httpcomponents-client。

OSTIF官方提到，大型企業(yè)愿意捐助OSTIF，代表OSTIF進行安全審查和程序代碼審核，來提升開源項目安全的模式是成功的。OSTIF集結(jié)經(jīng)驗豐富的團隊，進行有針對性且大范圍的審查，能夠大幅改進這些被廣泛使用的開源項目安全性，例如OSTIF就對用于保護網(wǎng)站的開源DNS解析器進行安全審查，總共修復了1個嚴重、5個高風險和5個中等風險的漏洞，總共進行了48項的改進，以全面提升其安全性。

Google的資助讓OSTIF有能力執(zhí)行托管審核計劃，這項計劃會從生態(tài)系統(tǒng)重要開源項目開始，研究人員經(jīng)研究列出最初托管審核計劃25個項目，再經(jīng)由交叉參照OpenSSF安全計分卡，最后共同確定對8個項目進行安全改進，期望對開源生態(tài)系統(tǒng)產(chǎn)生深遠的影響。