Google tung ra tiền thưởng lỗi mã nguồn mở mới để giải quyết các cuộc tấn công của chuỗi cung ứng

Google hôm thứ Hai đã giới thiệu một chương trình tiền thưởng lỗi mới cho các dự án mã nguồn mở của mình, cung cấp các khoản thanh toán từ $ 100 đến $ 31,337 (tham chiếu đến eleet hoặc leet) để bảo vệ hệ sinh thái khỏi các cuộc tấn công chuỗi cung ứng.

Được gọi là Chương trình khen thưởng lỗ hổng bảo mật nguồn mở (OSS VRP), chương trình này là một trong những chương trình đầu tiên dành riêng cho lỗ hổng bảo mật mã nguồn mở.

Với gã khổng lồ công nghệ là người duy trì các dự án lớn như Angular, Bazel, Golang, Protocol Buffers và Fuchsia, chương trình nhằm mục đích thưởng cho những phát hiện lỗ hổng có thể có tác động đáng kể đến bối cảnh nguồn mở lớn hơn.

Các dự án khác do Google quản lý và được lưu trữ trên các kho lưu trữ công khai như GitHub cũng như các phần phụ thuộc của bên thứ ba có trong các dự án đó cũng đủ điều kiện.

Bài gửi từ thợ săn lỗi được mong đợi đáp ứng các tiêu chí sau:

Các lỗ hổng bảo mật dẫn đến thỏa hiệp chuỗi cung ứng Các vấn đề thiết kế gây ra lỗ hổng sản phẩm Các vấn đề bảo mật khác như thông tin đăng nhập nhạy cảm hoặc bị rò rỉ, mật khẩu yếu hoặc cài đặt không an toàn

Tăng cường các thành phần nguồn mở, đặc biệt là các thư viện của bên thứ ba hoạt động như khối xây dựng của nhiều phần mềm, đã trở thành ưu tiên hàng đầu trong bối cảnh các cuộc tấn công chuỗi cung ứng ngày càng leo thang nhắm vào Maven, NPM, PyPI và RubyGems.

Xem tiếp:   Microsoft phát hiện ra các quy tắc leo thang đặc quyền mới trong hệ điều hành Linux

Các cuộc tấn công chuỗi cung ứngTín dụng hình ảnh: Sonatype

Lỗ hổng Log4Shell trong thư viện ghi nhật ký Log4j được đưa ra ánh sáng vào tháng 12 năm 2021 là một ví dụ điển hình, gây ra sự tàn phá trên diện rộng và trở thành một lời kêu gọi rõ ràng để cải thiện trạng thái của chuỗi cung ứng phần mềm.

“Năm ngoái đã chứng kiến ​​sự gia tăng 650% so với cùng kỳ năm trước trong các cuộc tấn công nhắm vào chuỗi cung ứng nguồn mở, bao gồm các sự cố tiêu đề như Codecov và lỗ hổng Log4j cho thấy khả năng phá hoại của một lỗ hổng mã nguồn mở duy nhất”, Francis Perron và Krzysztof Kotowicz của Google nói.

Động thái này diễn ra sau một chương trình phần thưởng tương tự mà Google đã thiết lập vào tháng 11 năm ngoái để phát hiện ra sự leo thang đặc quyền và thoát khỏi các khai thác trong Nhân Linux. Kể từ đó, nó đã tăng số tiền tối đa từ $ 50.337 lên $ 91.337 cho đến cuối năm 2022.

Đầu tháng 5 này, gã khổng lồ internet đã thông báo về việc thành lập một “Đội ngũ bảo trì nguồn mở” mới để tập trung vào việc tăng cường bảo mật cho các dự án nguồn mở quan trọng.

.

Related Posts

Check Also

Ứng dụng phần thưởng ngân hàng ở Ấn Độ giả mạo Nhắm mục tiêu người dùng Android bằng phần mềm độc hại ăn cắp thông tin

Một chiến dịch lừa đảo dựa trên SMS đang nhắm mục tiêu đến khách hàng …