O fundo de US$ 1,25 milhão (R$ 6,9 milhões) será investido em 125 projetos, com o apoio de parceiros como Alfred P. Sloan Foundation, American Express, Chainguard, HeroDevs, Kraken, Mayfield Fund, Microsoft, 1Password, Shopify, Stripe, Superbloom, Vercel, Zerodha e outros. O GitHub também continuará a aceitar outros parceiros que queiram se juntar ao projeto. Além do apoio financeiro, o programa de três semanas também inclui aulas de segurança digital, mentorias, ferramentas, certificações e mais.
Aqueles que mantêm as plataformas de código aberto sabem que a segurança é importante, mas também difícil de priorizar em meio a todo o trabalho necessário nos projetos. Enquanto isso, pesquisas mostram que as organizações investem bilhões de dólares em open source, mas as auditorias de segurança não são uma prioridade. Ninguém quer ver seu trabalho se tornando a fonte de problemas para os usuários, mas se manter atualizado, lidar com relatórios e corrigir brechas é custoso, sendo o maior obstáculo para quem trabalha em projetos open source apenas no tempo livre, quase como um hobby.
Por isso, o GitHub conversou com mantenedores, fundações e empresas para criar uma forma diferente de ajudar. Para alguns desenvolvedores, por exemplo, obter financiamento ajudaria a liberar tempo para focar em segurança, enquanto outros buscam aprendizado, apoio de experts e da própria comunidade. O Fundo GitHub Secure Open Source se apoia no aprendizado obtido em outros projetos do tipo para criar um programa único, ligado ao financiamento e com foco em resolver um problema específico.
O objetivo é melhorar a segurança de projetos com escalabilidade, criando uma comunidade de mantenedores e financiadores preocupados com a segurança. Entre os benefícios estão a redução de riscos, maior visibilidade, insights sobre o status de projetos e relatórios consistentes.
“São as pessoas por trás das plataformas que determinam o sucesso do código aberto. Estamos investindo em segurança porque ela é fundamental para o ecossistema global de software e, para muitas organizações, é essencial para navegar por políticas como Secure by Design e EU Cyber Resilience Act e para a sustentabilidade de longo prazo”, completa Martin Woodward, vice-presidente de relações com desenvolvedores do GitHub.
Benefícios do programa
O GitHub vai fornecer educação em segurança, contato com experts, suporte à comunidade, divulgação e relatórios semestrais. Os participantes aprenderão os princípios de segurança diretamente e usarão ferramentas como GitHub Copilot e GitHub Copilot Autofix para melhorar a proteção das soluções, reduzir a chamada dívida de segurança e aumentar a confiabilidade para os usuários.
Todo o financiamento será repassado diretamente aos mantenedores por meio do programa GitHub Sponsors, que está disponível em mais de 100 regiões do mundo, incluindo o Brasil. O Fundo GitHub Secure Open Source inclui os seguintes benefícios:
Financiamento: US$ 10 mil por projeto alinhado com os objetivos do programa;
Educação: programa de três semanas que consiste de cinco a 10 horas de comprometimento semanal, com um mix de instruções individuais, workshops, sessões em grupo, projetos e mentoria. Os trabalhos também serão focados em objetivos de segurança específicos firmados entre os mantenedores, os gerentes do programa e o GitHub Security Lab;
Check-ins: reuniões com seis e 12 meses após as aulas;
Contato com o GitHub Security: tempo dedicado com o time do GitHub Security Lab para estabelecer políticas eficazes de segurança e melhores práticas de gerenciamento, planejamento e suporte a incidentes;
Engajamento e expertise: sessões de perguntas e respostas com financiadores do GitHub Sponsors, membros da comunidade, líderes do GitHub e especialistas em segurança do GitHub Security Lab.
Ferramentas: acesso gratuito e treinamentos ligados aos produtos do GitHub como GitHub Copilot, Copilot Autofix e escaneamento de segredos;
Comunidade: acesso à comunidade GitHub Secure Open Source;
Apoio a alunos: oportunidades recorrentes de network e suporte pelo GitHub;
Aulas sobre políticas: preparo dos projetos diante de regulamentações como Secure by Design e o Ato de Ciberresiliência da União Europeia;
Certificação e relatórios: certificação do programa e revisões de segurança duas vezes ao ano.