GitHub Secure Open Source Fund завершил третью сессию программы, профинансировав улучшение безопасности 67 критически важных open source проектов. Общий бюджет составил $670 тысяч — по $10 тысяч на каждый проект.
Программа нацелена на защиту «невидимой инфраструктуры» софта — библиотеки вроде curl, Python, pandas и SciPy, на которых строится всё от ИИ-систем до мобильных приложений. Один production-сервис может зависеть от сотен транзитивных зависимостей, и компрометация любой из них грозит масштабными последствиями.
Как работает программа
Каждая сессия длится три недели интенсивного обучения плюс год сопровождения. Мейнтейнеры получают практическую подготовку по трём направлениям: основы безопасности open source, моделирование угроз и защищённое программирование, безопасность ИИ и управление уязвимостями.
Финансирование привязано к конкретным результатам — команда GitHub Security Lab проверяет выполнение поставленных целей. Кроме $10 тысяч через GitHub Sponsors, участники получают доступ к экспертному сообществу, регулярные консультации и кредиты Azure для облачной инфраструктуры.
Выплаты разбиты на этапы: $6 тысяч во время спринта, по $2 тысячи через 6 и 12 месяцев при успешных проверках безопасности.
Зачем это важно
Как показал инцидент с Log4Shell, уязвимость в одной широко используемой библиотеке может парализовать тысячи сервисов по всему миру. GitHub пытается решить проблему системно — вместо латания дыр после инцидентов компания инвестирует в превентивную защиту ключевых компонентов цифровой инфраструктуры.
Программа уже показала результаты: за три сессии 205 проектов внедрили значимые улучшения безопасности. Это особенно критично для ИИ-стека, где модели обучаются и работают на скоростях, несовместимых с традиционными циклами исправления багов.
Следующая сессия стартует в апреле — GitHub планирует масштабировать программу и привлечь больше партнёров к финансированию.