Google обяви награди за откриване на грешки в отворения код

Pixabay.com
Schluesseldienst

Google обяви награди за откриване на грешки в отворения код

Google призовава хакерите да атакуват нейните проекти с отворен код чрез нова програма за проучване на уязвимости

Владимир Владков
395 прочитания

Pixabay.com

© Schluesseldienst


Google добави още една програма, даваща награди за откриване на уязвимости (VRP), чрез пускането на специална инициатива за софтуера с отворен код (OSS). Тя ще възнаграждава хакери, които открият грешки в проектите с отворен код на Google.

Програмите VRP са създадени още през 2010 г., като общият брой на заявките за възнаграждения е 13 000, по които са изплатени над $38 милиона. Заявките покриват множество продукти, включително мобилната операционна система Android и уеб браузъра Chrome.

Google поддържа множество OSS проекти, включително платформа за уеб разработка Angular, операционна система Fuchsia и езика за програмиране Golang. Пускането на новата програма OSS VRP е важен момент за интернет гиганта, отразяваща нарастващия брой OSS уязвимости, открити напоследък, които предоставят "вратички" към множество потенциални жертви.

Атаките към веригите за доставки, които имат много силно въздействие върху тях, активирани през уязвимости в OSS, включват компрометирането през април 2021 г. на услугата за одит на кода Codecov и Log4Shell, последствията от които продължават да "отекват" по света почти година по-късно.

"Google се гордее, че е част от общността на софтуера с отворен код. Чрез нашите съществуващи програми за награди за откриване на грешки, ние възнаградихме "ловците на грешки" от над 84 държави и очакваме с нетърпение да увеличим този брой чрез тази нова VRP програма", пишат Франсис Перон, технологичен мениджър на програмата за сигурност с отворен код на Google, и инженерът по информационна сигурност Кшищоф Котович.

"Общността непрекъснато ни изненадва със своята креативност и решителност и нямаме търпение да видим какви нови грешки ще открият. Заедно можем да помогнем за подобряване на сигурността на екосистемата с отворен код", добавят те.

Програмата е създадена, за да насърчи изследователите да открият уязвимости, които имат най-голям потенциал за въздействие в реалния свят, или вече оказват такова. Тя обхваща всички актуални версии на OSS, съхранявани в публичните хранилища на притежавани от Google организации GitHub. В обхвата на програмата са зависимостите от трети страни на тези проекти, но ще се изисква предварително подаване към Google на уведомяване за откритата зависимост.

Освен Angular, Fuchsia и Golang, първоначално програмата ще се съсредоточи върху два други особено чувствителни проекта - Bazel, платформа за писане и тестване на код; и Protocol Buffers, механизъм за сериализиране на структурирани данни. Всички те ще получат най-големите възнаграждения, като максималният потенциал е $31 000. Google заяви, че вероятно да разшири този списък в бъдеще.

Перон и Котович допълват, че са особено заинтересовани да чуят за уязвимости, които биха могли да доведат до компрометиране на верига за доставки, проблеми с дизайна, които могат да причинят уязвимости на продукта, и проблеми като чувствителни или изтекли идентификационни данни, слаби пароли или несигурни инсталации. Хакерите, които се интересуват да започнат работа с новата програма OSS VRP, са насърчени да разгледат правилата на програмата.

В по-широк план програмата OSS VRP е част от обещаните инвестиции от $10 милиарда, поета от Google през август 2021 г. на среща с някои от най-големите технологични компании в света, включително Amazon, Apple, IBM и Microsoft, които се събраха тогава в Белия дом на среща, организирана от президента Байдън в подкрепа на неговия план за действие за киберсигурност.

Google добави още една програма, даваща награди за откриване на уязвимости (VRP), чрез пускането на специална инициатива за софтуера с отворен код (OSS). Тя ще възнаграждава хакери, които открият грешки в проектите с отворен код на Google.

Програмите VRP са създадени още през 2010 г., като общият брой на заявките за възнаграждения е 13 000, по които са изплатени над $38 милиона. Заявките покриват множество продукти, включително мобилната операционна система Android и уеб браузъра Chrome.

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОК