GitHub завершил третью сессию своего Secure Open Source Fund, выделив $670 тысяч на улучшение безопасности 67 критически важных open source проектов. Каждый проект получил по $10 тысяч за конкретные улучшения безопасности.
Программа нацелена на укрепление цепочки поставок ПО — от библиотек вроде curl и pandas до инфраструктурных решений как Node.js и Jenkins. Эти проекты лежат в основе миллионов приложений, включая AI-системы, облачные сервисы и мобильные приложения.
Как работает фонд
Схема прозрачная: никаких денег без результата. Проекты проходят трёхнедельный спринт с экспертами GitHub Security Lab, изучают основы безопасности, моделирование угроз и защиту AI-систем. Деньги выплачиваются поэтапно — $6 тысяч сразу, ещё по $2 тысячи через 6 и 12 месяцев при выполнении security check-ins.
Дополнительно участники получают Azure-кредиты для облачной инфраструктуры и доступ к закрытому сообществу разработчиков на целый год.
Почему это важно сейчас
Один современный сервис может зависеть от тысяч транзитивных зависимостей. Случай Log4Shell показал — одна уязвимость в популярной библиотеке парализует половину интернета. При этом AI-системы реагируют гораздо быстрее традиционных, что увеличивает радиус поражения.
(Для справки: Log4Shell — критическая уязвимость в Java-библиотеке Log4j, обнаруженная в декабре 2021 года. Затронула миллионы приложений от Minecraft до корпоративных систем.)
За три сессии GitHub вложил в безопасность open source уже более $2 млн — конкретные деньги за конкретные результаты, а не благотворительность.
Следующая сессия стартует весной 2026 года с расширенным бюджетом и фокусом на AI-инфраструктуру.
