【加大力度】GitHub推 125 萬安全基金　提升逾億用戶開源項目安全

擁有過億用家的開源程式碼託管平台 GitHub 宣布推出新措施，透過設立「安全開源基金」（Secure Open Source Fund）計劃，全方位支援開源項目的安全性及持續發展。近年平台頻頻成為黑客目標，今年便發生多宗嚴重事故，包括黑客利用平台評論功能的漏洞散播虛假升級檔案，以及將惡意程式刻意改名為知名開源項目，誤導用家下載。相信這次推出新計劃，便是為了改善問題而設。

開源項目中發現逾十萬惡意代碼

GitHub 由於擁有龐大的用家群，因而成為黑客熱門的攻擊目標。有網絡安全機構在今年三月曾調查平台上的開源項目，發現超過 100,000 個項目含有惡意代碼，這對開發者造成潛在威脅。研究員指這些數據可見，黑客正在向平台上傳惡意軟件，導致 GitHub 的自動安全掃瞄系統難以檢測和消除這些威脅。

這些惡意代碼包括木馬病毒、蠕蟲、間諜軟件和勒索軟件，可能竊取用家數據或損壞系統。報告內亦指出，開發者可能在不知情的情況下使用這些代碼，導致安全漏洞和聲譽損害。而這情況出現的原因之一，是開發者本身的網絡安全意識不足，因而有必要採取措施減少這種情況發生，其中一個可行的方法便是建立一個社群。

計劃強化開源生態系統安全

這項由微軟旗下 GitHub 推出的基金總額達 125 萬美元，首階段將資助 125 個開源項目，即每個項目可獲 1 萬美元資助。GitHub 表示在黑客手法日趨複雜的情況下，此計劃旨在建立一個以安全為重點的維護者及資助者社群，以提升整個開源生態系統的安全性。

除了財政支援外，GitHub 還會為項目維護者提供安全教育、認證、指導及工具支援。參與項目的維護者每週須承諾投入 5 至 10 小時參與工作坊、小組會議及專案開發，而他們將獲得 GitHub 安全實驗室團隊的專屬指導，並可與安全專家直接交流。

GitHub 同時會為參與者提供免費使用及培訓機會，包括學習使用 Copilot、Copilot Autofix 及 Secret Scanning 等安全檢測工具，以及可加入新成立的 GitHub 安全開源社群，拓展人脈網絡。這些工具能協助維護者及早發現潛在威脅，防範黑客利用平台漏洞進行攻擊。

安全開源基金的申請期由即日起至 2025 年 1 月 7 日止。官方表示目前已有十多個機構支持這項計劃，更表示會繼續歡迎更多夥伴加入，共同資助開源項目的安全發展。GitHub 強調面對日益複雜的網絡安全挑戰，透過生態系統方式解決開源安全問題，能為業界帶來更多資源，確保開源項目的可持續發展及其安全性。

資料來源：https://www.securityweek.com/github-launches-fund-to-improve-open-source-project-security/