Google Pazartesi günü, açık kaynak projeleri için 100 $ ile 31.337 $ arasında ödemeler sunan yeni bir hata ödül programı başlattı (bir referans eleet veya leet) ekosistemi tedarik zinciri saldırılarından korumak için.
Açık Kaynak Yazılım Güvenlik Açığı Ödül Programı (OSS VRP) olarak adlandırılan teklif, ilk açık kaynağa özgü güvenlik açığı programlarından biridir.
Angular, Bazel, Golang, Protocol Buffers ve Fuchsia gibi büyük projelerin sahibi olan teknoloji devi ile program, aksi takdirde daha geniş açık kaynak ortamı üzerinde önemli bir etkisi olabilecek güvenlik açığı keşiflerini ödüllendirmeyi amaçlıyor.
Google tarafından yönetilen ve GitHub gibi herkese açık havuzlarda barındırılan diğer projeler ve bu projelere dahil olan üçüncü taraf bağımlılıkları da uygundur.
Gönderiler böcek avcılarından aşağıdaki kriterleri karşılaması beklenir –
- Tedarik zinciri uzlaşmasına yol açan güvenlik açıkları
- Ürün güvenlik açıklarına neden olan tasarım sorunları
- Hassas veya sızdırılmış kimlik bilgileri, zayıf parolalar veya güvenli olmayan yüklemeler gibi diğer güvenlik sorunları
Maven, NPM, PyPI ve RubyGems’i hedef alan tedarik zinciri saldırılarındaki sürekli artışın ardından açık kaynak bileşenlerini, özellikle de birçok yazılımın yapı taşı görevi gören üçüncü taraf kitaplıklarını güçlendirmek, en büyük öncelik haline geldi.
 |
| Resim kredisi: Sonatype |
Aralık 2021’de gün ışığına çıkan Log4j Java günlük kitaplığındaki Log4Shell güvenlik açığı, yaygın bir tahribata neden olan ve yazılım tedarik zincirinin durumunu iyileştirmek için açık bir çağrı haline gelen başlıca örnektir.
“Geçen yıl bir yıldan yıla %650 artış Google’dan Francis Perron ve Krzysztof Kotowicz, Codecov ve tek bir açık kaynak güvenlik açığının yıkıcı potansiyelini gösteren Log4j güvenlik açığı gibi ana olaylar da dahil olmak üzere açık kaynak tedarik zincirini hedef alan saldırılarda söz konusu.
Bu hamle, Google’ın geçen Kasım ayında ayrıcalık artışını ve Kubernetes’in Linux Çekirdeğindeki istismarlardan kaçışını ortaya çıkarmak için başlattığı benzer bir ödül programını takip ediyor. O zamandan beri maksimum miktarı artırdı 2022’nin sonuna kadar 50.337 dolardan 91.337 dolara.
Bu Mayıs ayının başlarında, internet devi, kritik açık kaynak projelerinin güvenliğini artırmaya odaklanmak için yeni bir “Açık Kaynak Bakım Ekibi” kurulduğunu da duyurdu.