Google’ın sahip olduğu yeni bir güvenlik açığı ödül programı tanıttı açık kaynaklı yazılımında veya yazılımının üzerine inşa edildiği yapı taşlarında güvenlik kusurları bulan araştırmacılara ödeme yapmak. Angular, GoLang ve Fuchsia gibi projelerdeki hatalar veya bu projelerin kod tabanlarında yer alan üçüncü taraf bağımlılıklarındaki güvenlik açıkları hakkında bilgi için 101 ila 31.337 $ arasında herhangi bir yerde ödeme yapacaktır.
Google’ın kendi projelerindeki (ve programın da kapsadığı kodundaki değişiklikleri takip etmek için kullandığı yazılımdaki) hataları düzeltmesi önemli olsa da, belki de en ilginç kısım üçüncü taraf bağımlılıklarıyla ilgili kısımdır. Programcılar genellikle aynı tekerleği yeniden icat etmek zorunda kalmamak için açık kaynaklı projelerden kod kullanırlar. Ancak geliştiriciler genellikle bu kodu ve buna yönelik herhangi bir güncellemeyi doğrudan içe aktardıklarından, bu, tedarik zinciri saldırıları olasılığını ortaya çıkarır. Bu, bilgisayar korsanlarının doğrudan Google tarafından kontrol edilen kodu hedef almadığı, bunun yerine bu üçüncü taraf bağımlılıklarının peşinden gittiği zamandır.
SolarWinds’in gösterdiği gibi, bu tür saldırılar açık kaynaklı projelerle sınırlı değildir. Ancak son birkaç yılda, büyük şirketlerin bağımlılıklar nedeniyle güvenliklerini riske attığına dair birkaç hikaye gördük. Bu tür saldırı vektörlerini azaltmanın yolları var – Google’ın kendisi, popüler açık kaynaklı programların bir alt kümesini incelemeye ve dağıtmaya başladı, ancak bir projenin kullandığı tüm kodu kontrol etmek neredeyse imkansız. Topluluğu, bağımlılıkları ve birinci taraf kodunu kontrol etmeye teşvik etmek, Google’ın daha geniş bir ağ oluşturmasına yardımcı olur.
Göre Google’ın kuralları, Açık Kaynak Yazılım Güvenlik Açığı Ödülleri Programından yapılan ödemeler, hatanın ciddiyetine ve bulunduğu projenin önemine bağlı olacaktır (Fuşya ve benzerleri “amiral gemisi” projeler olarak kabul edilir ve bu nedenle en yüksek ödemelere sahiptir). Tedarik zinciri güvenlik açıkları için ödüllerle ilgili bazı ek kurallar da var – araştırmacıların Google’a söylemeden önce üçüncü taraf projesinden gerçekten sorumlu olan kişiyi bilgilendirmesi gerekecek. Ayrıca sorunun Google’ın projesini etkilediğini kanıtlamaları gerekiyor; şirketin kullanmadığı kütüphanenin bir bölümünde bir hata varsa, program için uygun olmayacaktır.
Google ayrıca, insanların açık kaynaklı projeleri için kullandığı üçüncü taraf hizmetleri veya platformlarda dolaşmasını istemediğini söylüyor. GitHub deposunun nasıl yapılandırıldığıyla ilgili bir sorun bulursanız, sorun değil; GitHub’ın oturum açma sistemiyle ilgili bir sorun bulursanız, bu kapsama girmez. (Google, kişilere “diğer kullanıcılara ve şirketlere ait varlıkların güvenlik araştırması yapma” yetkisi veremeyeceğini söylüyor.)
Parayla motive olmayan araştırmacılar için Google, ödüllerini araştırmacı tarafından seçilen bir hayır kurumuna bağışlamayı teklif ediyor – hatta şirket bu bağışları ikiye katlayacağını söylüyor.
Açıkçası, bu Google’ın bir hata ödülündeki ilk çatlağı değil – bir tür güvenlik açığı ödül programı vardı. onyıldan fazla. Ancak şirketin alarm verdiği bir sorun üzerinde harekete geçtiğini görmek güzel. Bu yılın başlarında, popüler açık kaynaklı Log4j kitaplığında bulunan Log4Shell istismarının ardından Google, ABD hükümetinin kritik açık kaynaklı projelerde güvenlik sorunlarını bulmaya ve bunlarla ilgilenmeye daha fazla dahil olması gerektiğini söyledi. O zamandan beri, olarak BleeBilgisayar notlarşirket var ödemeleri geçici olarak artırdı Kubernetes ve Linux çekirdeği gibi belirli açık kaynaklı projelerde hata bulan kişiler için.