Google资助OSTIF对Git和Laravel等重要开源专案进行安全审查

Google在8月的时候，宣布要资助1亿美元，给帮助修复开源专案漏洞，并维护专案安全性的第三方基金会，现在Google兑现部分这项承诺，宣布支援开源技术改进基金会（Open Source Technology Improvement Fund，OSTIF），来提高包括Git和Laravel在内的8大专案安全性。

Google所提供的资源，将使OSTIF能够提供托管稽核计划（Managed Audit Program），这项计划会对重要专案，进行深入的安全性审核，第一轮选出的函式库、框架和应用程序，都对开源生态系有举足轻重的地位，这些专案包括Git、Lodash、Laravel、Slf4j、Jackson-core和Jackson-databind以及Httpcomponents-core和Httpcomponents-client。

OSTIF官方提到，大型企业愿意捐助OSTIF，代表OSTIF进行安全审查和程式码稽核，来提升开源专案安全的模式是成功的。OSTIF集结经验丰富的团队，进行有针对性且大范围的审查，能够大幅改进这些被广泛使用的开源专案安全性，例如OSTIF就对用于保护网站的开源DNS解析器进行安全审查，总共修复了1个严重、5个高风险和5个中等风险的漏洞，总共进行了48项的改进，以全面提升其安全性。

Google的资助让OSTIF有能力执行托管稽核计划，这项计划会从生态系重要开源专案开始，研究人员经研究列出最初托管稽核计划25个专案，再经由交叉参照OpenSSF安全计分卡，最后共同确定对8个专案进行安全改进，期望对开源生态系产生深远的影响。