Google赞助Secure Open Source奖励专案100万美元

Google于10月1日宣布，将赞助100万美元予Linux基金会（Linux Foundation）旗下的“捍卫开源码安全”（Secure Open Source，SOS）奖励专案，鼓励开发者寻找并回报开源专案的安全漏洞，并借此抛砖引玉。

Google在白宫举行资安高峰会的当天，承诺将在未来5年内投入100亿美元的资金来强化资安，当中有1亿美元是用来支援第三方的开源基金会，包括OpenSSF开源安全基金会与SOS。

SOS奖励的目的在于主动强化重要开源码专案的安全性，支援开源专案的基础架构以对抗应用程序及供应链攻击，由于它是用来补充既有的漏洞奖励专案，因此SOS奖励的范围更为广泛。

虽说广泛，但SOS奖励仍以重要的开源专案为优先，将评估专案的使用规模、对专案架构及使用者安全性的影响，以及若被开采所带来的严重性。此外，初期SOS奖励也会聚焦于特定的类别，包括软件供应链的安全改善、对软件产物签章与验证的采用、可产生更高OpenSSF分数的改善、使用OpenSSF Allstar 及修复所发现的问题，以及获得CII最佳实作徽章等。Google也愿意依照资安研究人员的需求，先行提供研究津贴。

目前SOS奖励所规划的奖金从505美元到1万美元不等，愈复杂、影响愈大或者是对基础架构有重大改善的，即有机会获得最高奖金。

其实100万美元对Google而言并不多，因为光是Google自己的抓漏奖励专案，2018年发出的奖金就有340万美元，2019年为650万美元，2020年更超过670万美元。

不过，Google也说针对SOS奖励所提供的100万美元只是个开端，希望能借此抛砖引玉，号召OpenSSF开源安全基金会的成员加入。