GitHub a annoncé cette semaine ouvrir l’appel à candidatures pour son programme GitHub Secure Open Source Fund, «conçu pour améliorer la sécurité et la durabilité des projets open source». Les candidatures sont acceptées jusqu’au 7 janvier 2025 au soir. «Outre le soutien financier, le programme de trois semaines fournira aux responsables [des projets lauréats] une formation en sécurité, un mentorat, des outils, une certification et bien plus encore.»
Microsoft, Amex et autres cosponsors
«Nous lançons le fonds avec 1,25 million de dollars à investir dans 125 projets, soutenus avec l’aimable assistance de la fondation Alfred P. Sloan, American Express, Chainguard, HeroDevs, Kraken, Mayfield Fund, Microsoft, 1Password, Shopify, Stripe, Superbloom, Vercel, Zerodha et d’autres.»
Pour expliquer sa philosophie, GitHub déclare: «L’objectif est d’améliorer la sécurité des projets de manière évolutive, en créant une communauté de mainteneurs et de bailleurs de fonds soucieux de la sécurité avec des objectifs communs. La communauté peut bénéficier d’un risque de sécurité réduit, d’une visibilité et d’informations sur l’état de sécurité des projets et de rapports cohérents.»
«Nous investissons dans la sécurité car elle est essentielle à l’écosystème logiciel mondial et, pour de nombreuses organisations, elle est essentielle pour s’y retrouver dans des politiques telles que Secure by Design et le Cyber Resilience Act de l’UE, ainsi que pour la durabilité à long terme.»
Les participants recevront notamment:
Financement : 10.000 dollars par projet en fonction des étapes et des points de contrôle du programme.
Formation : «programme de 3 semaines comprenant un engagement de 5 à 10 heures par semaine avec un mélange de cours particuliers, d’instructions, d’ateliers, de séances de groupe, de travail sur projet et de mentorat. Les projets auront également un travail ciblé sur les étapes de sécurité spécifiques au projet convenues entre le projet, les responsables du programme et GitHub Security Lab.»
Contrôles : des vérifications 6 et 12 mois après la formation
Outils : «accès et formation gratuits aux produits GitHub pertinents, notamment des outils comme GitHub Copilot, Copilot Autofix et l’analyse secrète. Communauté : accès à la nouvelle communauté GitHub Secure Open Source.»
7,7 milliards de dollars par an dans l’open source
«Depuis l’introduction du support aux entreprises via GitHub Sponsors, plus de 5.800 entreprises, dont Microsoft et Stripe, ont investi dans des mainteneurs et des projets sur GitHub, soit une augmentation de près de 40% par rapport à l’année précédente. Au total, la plateforme a débloqué plus de 60 millions de dollars de financement pour les mainteneurs afin de les aider à consacrer plus de temps à leurs projets.»
Cet été, indique GitUhb, «nous nous sommes associés à la fondation Linux et à des chercheurs du Laboratory for Innovation Science de Harvard (LISH) pour en savoir plus sur l’état actuel du financement de l’open source. Nous avons examiné les comportements de financement des organisations, les décalages potentiels et les possibilités d’amélioration. Dans le rapport publié aujourd’hui, nous avons constaté:
– Les organisations interrogées investissent chaque année 1,7 milliard de dollars dans l’open source, ce qui peut être extrapolé pour estimer qu’environ 7,7 milliards de dollars sont investis chaque année dans l’ensemble de l’écosystème open source.
– 86% de l’investissement se présente sous la forme de contributions de main-d’œuvre des employés et des sous-traitants travaillant pour l’organisation de financement, les 14% restants étant des contributions financières directes. Les organisations savent généralement comment et où elles contribuent (65%), mais manquent de clarté sur leurs contributions (38%).
– Les efforts de sécurité se concentrent sur les bugs et la maintenance; seules quelques-unes (6%) ont déclaré que les audits de sécurité complets étaient une priorité.»
Lire aussi
Logiciel libre : dix leçons à tirer de sa communauté et qui n’ont rien à voir avec la technologie – 19 novembre 2024
Pourquoi les failles de sécurité pourraient coûter un peu plus cher aux éditeurs négligents – 29 octobre 2024
GitHub automatise la correction de vulnérabilités avec l’IA – 25 mars 2024
Google et Microsoft financent la sécurité de logiciels open source – 13 février 2022