Mozilla, l’azienda che sta dietro uno dei browser più noti del panorama OpenSource, Firefox, così come tanti altri software, ha lanciato una campagna di fondi che mira a dare agli sviluppatori di software OpenSource i soldi necessari a fare serie analisi di sicurezza sui loro software.

Il SOS (Secure Open Source) Fund farà parte del più famoso MOSS, il Mozilla Open Source Support program, così come dichiarato da Chris Riley, responsabile delle policy pubbliche di Mozilla:

Major security bugs in core pieces of open source software – such as Heartbleed and Shellshock – have elevated highly technical security vulnerabilities into national news headlines. Despite these sobering incidents, adequate support for securing open source software remains an unsolved problem, as a panel of 32 security professionals confirmed in 2015. We want to change that, starting today with the creation of the Secure Open Source (“SOS”) Fund aimed at precisely this need.

I principali bug di sicurezza nel cuore di software open source – come Heartbleed e Shellshock – hanno portato vulnerabilità di sicurezza prettamente tecniche nei titoli delle testate giornalistiche nazionali. Nonostante questi incidenti facciano riflettere, un adeguato supporto per mettere in sicurezza il software open source rimane un problema insoluto, come confermato da 32 professionisti della sicurezza nel 2015. Vogliamo cambiare questa cosa, iniziando oggi con la creazione del fondo Secure Open Source (“SOS”) con lo scopo di ovviare specificatamente a questa necessità.

Il fondo è stato avviato con l’interessante cifra di $500.000, che serviranno a coprire le analisi su alcuni software e librerie open source largamente utilizzate.

Mozilla will contract with and pay professional security firms to audit other projects’ code;
Mozilla will work with the project maintainer(s) to support and implement fixes, and to manage disclosure; and
Mozilla will pay for the remediation work to be verified, to ensure any identified bugs have been fixed.

Mozilla farà contratti e pagherà figure professionali affermate nella sicurezza per analizzare il codice di altri progetti;
Mozilla lavorerà con i manutentori dei progetti per supportarli ed implementare le correzioni, e per gestire la comunicazione;
Mozilla pagherà per la verifica del lavoro di fix, per assicurarsi che gli erorri identificati siano sistemati.

Questi i tre obiettivi indicati dalla foundation.

Nel caso siate degli sviluppatori potete registrarvi per l’aiuto da parte di Mozilla. E l’azienda cerca finanziatori per l’iniziativa.

Matteo Cappadonna

Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l’HA e l’universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.