Google presentó el lunes un nuevo programa de recompensas por errores para sus proyectos de código abierto, que ofrece pagos desde $ 100 hasta $ 31,337 (una referencia a eleet o leet ) para proteger el ecosistema de los ataques a la cadena de suministro .
Llamado Programa de recompensas por vulnerabilidad de software de código abierto (OSS VRP), la oferta es uno de los primeros programas de vulnerabilidad específicos de código abierto.
Con el gigante tecnológico como mantenedor de proyectos importantes como Angular, Bazel, Golang, Protocol Buffers y Fuchsia, el programa tiene como objetivo recompensar los descubrimientos de vulnerabilidades que, de otro modo, podrían tener un impacto significativo en el panorama de código abierto más amplio.
También son elegibles otros proyectos administrados por Google y alojados en repositorios públicos como GitHub, así como las dependencias de terceros que se incluyen en esos proyectos.
Se espera que las presentaciones de los cazadores de errores cumplan con los siguientes criterios:
- Vulnerabilidades que conducen al compromiso de la cadena de suministro
- Problemas de diseño que causan vulnerabilidades del producto
- Otros problemas de seguridad, como credenciales confidenciales o filtradas, contraseñas débiles o instalaciones inseguras
Reforzar los componentes de código abierto, especialmente las bibliotecas de terceros que actúan como la base de muchos software, se ha convertido en una prioridad principal a raíz de la escalada constante de los ataques a la cadena de suministro dirigidos a Maven, NPM, PyPI y RubyGems.
La vulnerabilidad Log4Shell en la biblioteca de registro de Java Log4j que salió a la luz en diciembre de 2021 es un excelente ejemplo, que causó estragos generalizados y se convirtió en un llamado de atención para mejorar el estado de la cadena de suministro de software.
«El año pasado se produjo un aumento interanual del 650 % en los ataques dirigidos a la cadena de suministro de código abierto, incluidos incidentes destacados como Codecov y la vulnerabilidad Log4j que mostró el potencial destructivo de una sola vulnerabilidad de código abierto», Francis Perron y Krzysztof Kotowicz de Google. dijo .
La medida sigue a un programa de recompensas similar que Google instituyó en noviembre pasado por descubrir la escalada de privilegios y las vulnerabilidades de escape de Kubernetes en el kernel de Linux. Desde entonces, aumentó la cantidad máxima de $ 50,337 a $ 91,337 hasta fines de 2022.
A principios de mayo, el gigante de Internet anunció la creación de un nuevo » equipo de mantenimiento de código abierto » para centrarse en reforzar la seguridad de los proyectos críticos de código abierto.