Фонд OSTIF (Open Source Technology Improvement Fund), созданный с целью усиления защищённости открытых проектов, объявил о сотрудничестве с компанией Google, которая выразила готовность профинансировать проведение независимого аудита безопасности 8 открытых проектов. На полученные от Google средства решено провести аудит Git, JavaScript-библиотеки Lodash, PHP-фреймворка Laravel, Java-фреймворка Slf4j, JSON-библиотек Jackson (Jackson-core и Jackson-databind) и Java-компонентов Apache Httpcomponents (Httpcomponents-core и Httpcomponents-client).
Ранее на полученные в результате сбора пожертвований средства фонд OSTIF уже провёл аудит проектов OpenSSL, VeraCrypt, OpenVPN, Monero, Unbound DNS и QRL. Отдельно сообществом уже собраны средства для аудита PHP-фреймворка Symfony. В случае получения дополнительного финансирования для аудита также намечены проекты Systemd, Electron, Rails, Drupal, Joomla, WebPack, Reprepro, Ceph, React Native, Salt, Ansible, Angular, Gatsby и Guava.
Выбор произведён эмпирическим путём на основе оценки влияния безопасности проекта на экосистему открытого ПО и потенциальной выгоды для сообщества от увеличения безопасности рассматриваемых проектов. Для примерно 100 тысяч проектов на GitHub был вычислен коэффициент, учитывающий такие факторы, как популярность использования в качестве зависимости, востребованность в инфраструктурах, число разработчиков, активность разработки, число закрытых и незакрытых сообщений об ошибках, число поддерживающих проект организаций, частота выпуска обновлений, история выявления уязвимостей и т.п.
