Фонд OSTIF (Open Source Technology Improvement Fund) объявил о начале сотрудничества с Google для того, чтобы провести аудит безопасности критически важного программного обеспечения с открытым исходным кодом. Поисковый гигант профинансирует эту работу.
В фонде отмечают, что целенаправленная и хорошо продуманная проверка, выполненная опытной командой, может привести к значительным и долгосрочным улучшениям в ряде открытых проектов. В качестве примера приводится уже проведённая работа по улучшению Unbound DNS, где специалисты закрыли почти полсотни уязвимостей.
В рамках сотрудничества с Google планируется улучшить работу 8 проектов, выбранных из общего списка. Первоначально речь шла о 25 проектах. В перечне есть Git, JavaScript-библиотеки Lodash, PHP-фреймворк Laravel, Java-фреймворк Slf4j, JSON-библиотеки Jackson (Jackson-core и Jackson-databind) и Java-компоненты Apache Httpcomponents (Httpcomponents-core и Httpcomponents-client).
Отметим, что финансовая поддержка Google позволит OSTIF запустить программу управляемого аудита (MAP) для этих проектов и улучшит их безопасность. Ведь многие из упомянутых проектов используются в критически важных инфраструктурах — от систем контроля версий до веб-разработки, протоколов связи и так далее.