GitHub ha puesto en marcha, con el apoyo de varios partners, el fondo Secure Open Source Fund. Se trata de un proyecto centrado en ayudar a la mejora de la seguridad de las iniciativas open source, tanto mediante apoyo financiero como de soporte a otros niveles.
Los equipos y entidades que estén desarrollando uno de estos proyectos pueden presentar la solicitud para participar en él y recibir tanto formación como apoyo económico hasta el próximo 7 de enero de 2025. Cada proyecto participante recibirá un máximo de 10.000 dólares, por lo que el fondo ayudará como máximo a 125 proyectos.
Aparte de la aportación económica, los proyectos seleccionados participarán en un programa de tres semanas de duración que facilitará a las personas encargadas de mantenerlos y desarrollarlos formación en seguridad, mentoría, herramientas y certificaciones, además de informes bianuales del estado de su seguridad. Pasados seis y doce meses desde la finalización de los programas de formación se hará seguimiento con los participantes en él para comprobar el estado del proyecto.
Entre los partners que van a participar en el fondo están la. Fundación Alfred P. Sloan, American Express, Chainguard, HeroDevs, Kraken, el Fondo Mayfield, Microsoft, 1Password, Shopify, Stripe, Superbloom o Vercel. En GitHub, además, han destacado que siguen aceptando a partners que quieran unirse al fondo.
Entre los objetivos de esta iniciativa, además de mejorar la seguridad en los proyectos de manera que sea escalable y siga su ritmo de crecimiento, está el desarrollo de una comunidad de mantenimiento de proyectos que tenga presente la seguridad, en la que participen también los fundadores de dichos proyectos.
Los encargados de mantener los proyectos aprenderán los principios de seguridad de manera práctica, además de acceso a herramientas como GutHub Copilot o Copilot Autofix para mejorar su posición de seguridad y mejorar la confianza de sus usuarios. En cuanto a la financiación, irá directamente a ellos a través de GitHub Sponsors.
Todos los que se dediquen en la actualidad al mantenimiento de un proyecto open source con licencia open source en la actualidad, y se encuentren en las regiones a las que da cobertura GitHub Sponsors, que actualmente lleva a más de un centenar de países, pueden presentar su solicitud para entrar en el programa.
La formación del programa, como hemos mencionado, durará tres semanas, y consistirá en unas sesiones de entre 5 y 10 horas semanales consistentes en sesiones particulares, formación, talleres, sesiones grupales, trabajo en el proyecto y mentoría. Los proyectos también tendrán trabajos centrados en cubrir objetivos específicos sobre seguridad acordados entre el proyecto, los responsables del programa y GitHub Security Lab.
Los miembros de este laboratorio de este seguridad también participarán en sesiones con los miembros de los proyectos con el objetivo de ayudarles a poner en marcha políticas de seguridad eficaces, así como de mostrarles las mejores prácticas para la planificación y trabajo en gestión de incidentes.
Fuente: github.blog.