Google lancerer nyt bug bounty-program

Program forsøger at gøre noget ved sårbarheder i open source.

Google har lanceret et nyt bug bounty-program, der fokuserer specifikt på open source-software. Det skriver ZDnet.

’Dusørjægerne’ kan fra 100 dollar op til 31.000 dollar via det nye såkaldte Open Source Software Vulnerability Rewards Program (OSS VRP), afhængigt af hvor kritisk den fundne sårbarhed er.

Med programmet forsøges håndteret et problem, der længe har hjemsøgt softwaresamfundet – nemlig en stigning i kompromiser i forsyningskæden. Google henviser selv til en rapport fra softwarefirmaet Sonatype, der beskriver, at angreb rettet mod open source-forsyningskæden voksede med 650 % i 2021. Log4j-sårbarheden, der blev opdaget i december 2021, er baseret på open source og skabte som bekendt en masse problemer.

Ifølge ZDnet opfordrer Google med programmet dusørjægere til at lede efter problemer i opdaterede versioner af open source-software (inklusive lagerindstillinger), der er gemt i de offentlige lagre hos Google-ejede GitHub-organisationer (såsom Google, GoogleAPI'er og GoogleCloudPlatform). Programmet fokuserer også på disse projekters tredjepartsafhængigheder.

En udløber af møde i Det Hvide Hus

Det fremgår videre, at de største dusører vil blive udbetalt ifm. sårbarheder, der bliver fundet i Google mest følsomme projekter, herunder Bazel, Angular, Golang, Protocol buffers og Fuchsia. Google opfordrer også ’bug bounty-hunters’ til at lede efter problemer, der kan have den største indvirkning på forsyningskæden, hvilket kan omfatte designproblemer, der forårsager produktsårbarheder eller sikkerhedsproblemer som lækkede legitimationsoplysninger.

Googles program er kommet i stand, efter at Joe Biden i januar 2022 som følge af afsløringen af Log4j-sårbarheden i december 2021 inviterede techgiganterne til møde for at gøre noget ved sårbarheder i open source-software. Noget, som på mødet blev understreget som værende et nationalt sikkerhedsproblem.

Google forpligtede sig siden hen til at bruge 10 milliarder dollars på amerikansk cybersikkerhed. Det nye bug bounty-program er et initiativ i den pakke.

Links:

https://www.zdnet.com/article/googles-new-bug-bounty-program-targets-open-source-vulnerabilities/

https://cert.dk/da/news/2022-01-18/Det-Hvide-Hus-inviterer-til-nyt-tech-topmoede

https://cert.dk/da/news/2021-08-26/Giganter-forpligter-sig-til-gigantinvesteringer