Estão abertas as inscrições para o Fundo GitHub Secure Open Source, um programa destinado a melhorar o investimento em segurança e a sustentabilidade de projetos de código aberto. As inscrições serão revisadas conforme forem recebidas até o final do dia 7 de janeiro.
O fundo de US$ 1,25 milhão será investido em 125 projetos, com o apoio de parceiros como Alfred P. Sloan Foundation, American Express, Chainguard, HeroDevs, Kraken, Mayfield Fund, Microsoft, 1Password, Shopify, Stripe, Superbloom, Vercel, Zerodha e outros. O GitHub também continuará a aceitar outros parceiros que queiram se juntar ao projeto. Além do apoio financeiro, o programa de três semanas também inclui aulas de segurança digital, mentorias, ferramentas, certificações e mais.
Aqueles que mantêm as plataformas de código aberto sabem que a segurança é importante, mas também difícil de priorizar em meio a todo o trabalho necessário nos projetos. Enquanto isso, pesquisas mostram que as organizações investem bilhões de dólares em open source, mas as auditorias de segurança não são uma prioridade.
Ninguém quer ver seu trabalho se tornando a fonte de problemas para os usuários, mas se manter atualizado, lidar com relatórios e corrigir brechas é custoso, sendo o maior obstáculo para quem trabalha em projetos open source apenas no tempo livre, quase como um hobby.
Por isso, o GitHub conversou com mantenedores, fundações e empresas para criar uma forma diferente de ajudar. Para alguns desenvolvedores, por exemplo, obter financiamento ajudaria a liberar tempo para focar em segurança, enquanto outros buscam aprendizado, apoio de experts e da própria comunidade.
O Fundo GitHub Secure Open Source se apoia no aprendizado obtido em outros projetos do tipo para criar um programa único, ligado ao financiamento e com foco em resolver um problema específico.
O objetivo é melhorar a segurança de projetos com escalabilidade, criando uma comunidade de mantenedores e financiadores preocupados com a segurança. Entre os benefícios estão a redução de riscos, maior visibilidade, insights sobre o status de projetos e relatórios consistentes.
“São as pessoas por trás das plataformas que determinam o sucesso do código aberto. Estamos investindo em segurança porque ela é fundamental para o ecossistema global de software e, para muitas organizações, é essencial para navegar por políticas como Secure by Design e EU Cyber Resilience Act e para a sustentabilidade de longo prazo”, completa Martin Woodward, vice-presidente de relações com desenvolvedores do GitHub.
“O open source ajuda a American Express a entregar, diariamente, a melhor experiência ao cliente, enquanto permite que nossos desenvolvedores inovem, colaborem e compartilhem. A segurança do software de código aberto é uma prioridade antiga da companhia e estamos orgulhosos em participar desse programa tão importante, que busca melhorar a proteção de forma escalável, enquanto auxilia os mantenedores a implementarem softwares mais seguros”, afirma Hilary Packer, Chief Technology Officer da American Express.
“Estamos comprometidos com o Fundo GitHub Secure Open Source em consonância com nosso compromisso de longa data ao Fundo pelo Software Gratuito e de Código Aberto (FOSS), do qual nos beneficiamos imensamente. Todos ganham com o programa, que coloca dinheiro diretamente nas mãos dos desenvolvedores comprometidos com o padrão, enquanto possibilita melhorias críticas de segurança que beneficiam a todos”, comenta o Dr. Kailash Nadh, CTO na Zerodha.
Projetos de código aberto: benefícios do programa
O GitHub vai fornecer educação em segurança, contato com experts, suporte à comunidade, divulgação e relatórios semestrais. Os participantes aprenderão os princípios de segurança diretamente e usarão ferramentas como GitHub Copilot e GitHub Copilot Autofix para melhorar a proteção das soluções, reduzir a chamada dívida de segurança e aumentar a confiabilidade para os usuários.
Todo o financiamento será repassado diretamente aos mantenedores por meio do programa GitHub Sponsors, que está disponível em mais de 100 regiões do mundo, incluindo o Brasil. O Fundo GitHub Secure Open Source inclui os seguintes benefícios:
- Financiamento: US$ 10 mil por projeto alinhado com os objetivos do programa;
- Educação: programa de três semanas que consiste de cinco a 10 horas de comprometimento semanal, com um mix de instruções individuais, workshops, sessões em grupo, projetos e mentoria. Os trabalhos também serão focados em objetivos de segurança específicos firmados entre os mantenedores, os gerentes do programa e o GitHub Security Lab;
- Check-ins: reuniões com seis e 12 meses após as aulas;
- Contato com o GitHub Security: tempo dedicado com o time do GitHub Security Lab para estabelecer políticas eficazes de segurança e melhores práticas de gerenciamento, planejamento e suporte a incidentes;
- Engajamento e expertise: sessões de perguntas e respostas com financiadores do GitHub Sponsors, membros da comunidade, líderes do GitHub e especialistas em segurança do GitHub Security Lab.
- Ferramentas: acesso gratuito e treinamentos ligados aos produtos do GitHub como GitHub Copilot, Copilot Autofix e escaneamento de segredos;
- Comunidade: acesso à comunidade GitHub Secure Open Source;
- Apoio a alunos: oportunidades recorrentes de network e suporte pelo GitHub;
- Aulas sobre políticas: preparo dos projetos diante de regulamentações como Secure by Design e o Ato de Ciberresiliência da União Europeia;
- Certificação e relatórios: certificação do programa e revisões de segurança duas vezes ao ano.
A importância do financiamento em open source
O GitHub não seria o mesmo sem a comunidade de desenvolvedores, parceiros e clientes. Por meio do GitHub Sponsors, já vimos o impacto que o investimento em código aberto pode ter, seja pelo suporte geral a dependências, por transformar ideias em realidade ou criar oportunidades de carreira em tempo integral.
“Desde que iniciamos o programa, mais de 5,8 mil organizações, como Microsoft e Stripe, investiram em mantenedores e projetos no GitHub, com os aportes aumentando 40% a cada ano. No total, a plataforma já viabilizou mais de US$ 60 milhões em fundos que ajudaram os mantenedores a se permanecerem ativos em seus projetos”, diz Woodward.
Ainda assim, esse é só o começo do apoio das corporações ao código aberto. Por isso, o GitHub se uniu à Fundação Linux e ao Laboratório de Ciências e Inovação de Harvard (LISH) para entender melhor o estado atual do financiamento ao open source, incluindo o comportamento das organizações ao fazerem isso, possíveis desalinhamentos e oportunidades de melhoria. Os resultados foram:
- As organizações que participaram da pesquisa investem US$ 1,7 bilhão em open source, algo que pode ser extrapolado a um total aproximado de US$ 7,7 bilhões anuais aplicados em todo o ecossistema;
- 86% dos investimentos vêm na forma de trabalho de funcionários e pessoas que trabalham para a organização financiadora, enquanto os 14% restantes representam contribuições financeiras diretas;
- As organizações geralmente sabem como e onde contribuem (65%), mas sentem falta de maior clareza em suas contribuições (38%);
- Os esforços em segurança se concentram em bugs e manutenção; apenas 6% disseram que auditorias abrangentes de segurança são uma prioridade.
“Todos ganhamos com a liberação de mais recursos para o open source. Nem todo projeto ou mantenedor de código-fonte aberto tem acesso a financiamento e treinamento em segurança e foi por isso que criamos esse fundo.
Para alguns, receber treinamento, ferramentas, orientação e suporte financeiro pode ser um divisor de águas, permitindo que eles invistam tempo no aprimoramento da segurança de seus projetos”, completa Martin.
“Estamos felizes que o Fundo GitHub Secure Open Source vai aplicar os ensinamentos da nossa comunidade em projetos críticos e nos desenvolvedores, para ajudar a melhorar a segurança dos softwares e da própria comunidade”, comenta Christopher Robinson, arquiteto-chefe da Fundação de Segurança Open Source (OpenSSF) da Fundação Linux, uma das instituições parceiras do GitHub.
Outros nomes envolvidos incluem CURIOUSS, Ecosyste.ms, Mozilla Foundation, OpenJS, Open Source Initiative, Open Technology Fund, Open Source Collective, Sovereign Tech Fund e Sustain OSS.
“Há muito tempo, entendemos que as pessoas são o motor do código aberto, da Fundação Linux e da comunidade OpenSSF. Estamos ansiosos com o impacto positivo desta iniciativa na sustentabilidade e segurança”, completa Robinson.
“Este é apenas o começo da nossa jornada para encontrar novos caminhos para proteger o código aberto”, finaliza Martin. “Queremos que programas como o Fundo GitHub Secure Open Source empoderem um ecossistema mais saudável, diverso e protegido, criando uma cultura de proatividade e mostrando o valor de investir no setor.”