Google presentó el lunes un nuevo programa de recompensas por errores para sus proyectos de código abierto, que ofrece pagos desde $ 100 a $ 31,337 (una referencia a eleet o leet) para proteger el ecosistema de los ataques a la cadena de suministro.
Llamado Programa de recompensas por vulnerabilidad de software de código abierto (OSS VRP), la oferta es uno de los primeros programas de vulnerabilidad específicos de código abierto.
Con el gigante tecnológico como mantenedor de proyectos importantes como Angular, Bazel, Golang, Protocol Buffers y Fuchsia, el programa tiene como objetivo recompensar los descubrimientos de vulnerabilidades que, de otro modo, podrían tener un impacto significativo en el panorama de código abierto más amplio.
También son elegibles otros proyectos administrados por Google y alojados en repositorios públicos como GitHub, así como las dependencias de terceros que se incluyen en esos proyectos.
Presentaciones Se espera que los cazadores de errores cumplan con los siguientes criterios:
- Vulnerabilidades que conducen al compromiso de la cadena de suministro
- Problemas de diseño que causan vulnerabilidades del producto
- Otros problemas de seguridad, como credenciales confidenciales o filtradas, contraseñas débiles o instalaciones inseguras
Reforzar los componentes de código abierto, especialmente las bibliotecas de terceros que actúan como la base de muchos software, se ha convertido en una prioridad principal a raíz de la escalada constante de los ataques a la cadena de suministro dirigidos a Maven, NPM, PyPI y RubyGems.
 |
| Crédito de la imagen: Sonatype |
La vulnerabilidad Log4Shell en la biblioteca de registro de Java Log4j que salió a la luz en diciembre de 2021 es un excelente ejemplo, que causó estragos generalizados y se convirtió en un llamado de atención para mejorar el estado de la cadena de suministro de software.
«El año pasado vimos un 650% de aumento año tras año en ataques dirigidos a la cadena de suministro de código abierto, incluidos incidentes destacados como Codecov y la vulnerabilidad Log4j que mostró el potencial destructivo de una única vulnerabilidad de código abierto», Francis Perron y Krzysztof Kotowicz de Google dijo.
La medida sigue a un programa de recompensas similar que Google instituyó en noviembre pasado por descubrir la escalada de privilegios y las vulnerabilidades de escape de Kubernetes en el kernel de Linux. tiene desde aumentó la cantidad máxima de $50.337 a $91.337 hasta finales de 2022.
A principios de mayo, el gigante de Internet anunció la creación de un nuevo «equipo de mantenimiento de código abierto» para centrarse en reforzar la seguridad de los proyectos críticos de código abierto.