Linux Foundation gaat serieus betalen voor betere beveiliging open source
De Linux Foundation gooit het opschroeven van de beveiliging van Linux - en open source code in het algemeen - over een radicaal andere boeg. Terwijl het kenmerk van opensource-ontwikkeling is dat de bijdragen om niet ter beschikking worden gesteld, betaalt de Linux Foundation nu voor goed onderbouwde plannen om een aangetoonde kwetsbaarheid te repareren.
© Shutterstock
Shutterstock
Wie een beveiligingslek ontdekt, kan nu niet alleen geld krijgen voor de ontdekking (bug bounty) maar ook voor het repareren van het probleem, meldt ZDNet. Daarvoor moet een beschrijving van het lek worden ingediend bij de Linux Foundation samen met een uitgewerkt plan om het lek te dichten. In de aanvraag moet ook worden vermeld wie het plan gaat uitvoeren en wat het budget is dat nodig is voor de reparatie.
Het voorstel wordt door een commissie van de Linux Foundation beoordeeld. Is er een akkoord op uitvoering, dan moet de uitvoerder elke maand voortgangsrapportages indienen met onder meer een verantwoording van de gemaakte kosten en de geboekte vooruitgang. Alle resultaten van het betaalde werk moeten publiek beschikbaar komen onder de Gnu General Public Licenses Version 2 (GPLv2).
De werkwijze werd onlangs beschreven door David A. Wheeler, de directeur van het onderdeel Open Source Supply Chain Security van de Linux Foundation in een blog. De benodigde fondsen om dit beveiligingswerk te bekostigen komen van de belangrijke sponsors van de Linux Foundation, zoals Google en Microsoft, maar ook van de Open Source Security Foundation (OpenSSF) en the LF Public Health Foundation.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee