Η Google ανακοίνωσε πριν από λίγες ημέρες ότι λανσάρει ένα νέο πρόγραμμα επιβράβευσης εύρεσης σφαλμάτων (Bug bounty) που εστιάζει ειδικά στο λογισμικό ανοιχτού κώδικα.

Οι κυνηγοί σφαλμάτων μπορούν να κερδίσουν από $100 έως και $31.000 μέσω του νέου Open Source Software Vulnerability Rewards Program (OSS VRP),, ανάλογα με τη σοβαρότητα της ευπάθειας που βρίσκουν. Το νέο πρόγραμμα αντιμετωπίζει ένα σημαντικό πρόβλημα στην κοινότητα λογισμικού – μια έξαρση στις ευπάθειες στην αλυσίδα εφοδιασμού του λογισμικού. Επικαλούμενη μια έκθεση από την εταιρεία λογισμικού Sonatype, η Google σημείωσε ότι οι επιθέσεις που στοχεύουν την αλυσίδα εφοδιασμού ανοιχτού κώδικα αυξήθηκαν κατά 650% από έτος σε έτος το 2021. Ακόμη και μεμονωμένες ευπάθειες, όπως η σοβαρή ευπάθεια Log4j που ανακαλύφθηκε τον Δεκέμβριο του 2021, μπορούν να εξαπλωθούν ευρέως/

Το νέο πρόγραμμα της Google ενθαρρύνει τους κυνηγούς σφαλμάτων να αναζητούν προβλήματα σε ενημερωμένες εκδόσεις λογισμικού ανοιχτού κώδικα (συμπεριλαμβανομένων των ρυθμίσεων σε αποθετήρια) που είναι αποθηκευμένα στα δημόσια αποθετήρια των οργανισμών GitHub που ανήκουν στην Google (όπως Google, GoogleAPIs και GoogleCloudPlatform). ). Εστιάζει επίσης στις εξαρτήσεις τρίτων αυτών των έργων.

Τα κορυφαία βραβεία θα δοθούν σε ευπάθειες που βρίσκονται στα πιο ευαίσθητα έργα που διατηρεί η Google, συμπεριλαμβανομένων των Bazel, Angular, Golang, Protocol buffers και Fuchsia. Η Google ενθαρρύνει επίσης τους κυνηγούς σφαλμάτων να αναζητήσουν προβλήματα που θα μπορούσαν να έχουν τον μεγαλύτερο αντίκτυπο στην αλυσίδα εφοδιασμού, τα οποία θα μπορούσαν να περιλαμβάνουν ζητήματα σχεδιασμού που προκαλούν ευπάθειες προϊόντων ή ζητήματα ασφάλειας, όπως διαπιστευτήρια που διέρρευσαν.

Οι ανταμοιβές θα κυμαίνονται από $100 έως $31.337, ανάλογα με τη σοβαρότητα της ευπάθειας και τη σημασία του έργου. «Τα μεγαλύτερα ποσά θα πάνε επίσης σε ασυνήθιστα ή ιδιαίτερα ενδιαφέροντα τρωτά σημεία, επομένως η δημιουργικότητα ενθαρρύνεται», πρόσθεσε η Google στην ανάρτησή της στο blog. Το OSS VRP αποτελεί μέρος των 10 δισεκατομμυρίων δολαρίων που η Google έχει δεσμευτεί να δαπανήσει για την ασφάλεια στον κυβερνοχώρο των ΗΠΑ. Η Google ανέλαβε τη δέσμευση πέρυσι μετά από μια συνάντηση στον Λευκό Οίκο, όπου η κυβέρνηση Μπάιντεν τόνισε ότι οι πιθανές ευπάθειες στο λογισμικό ανοιχτού κώδικα αποτελούν ανησυχία για την εθνική ασφάλεια.

Πηγή άρθρου: https://www.zdnet.com



Source link

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται.