Google は 新しい脆弱性報酬プログラムを導入しました 同社のオープンソース ソフトウェアや、そのソフトウェアが構築されているビルディング ブロックにセキュリティ上の欠陥を発見した研究者に報酬を支払うためです。 Angular、GoLang、Fuchsia などのプロジェクトのバグに関する情報や、これらのプロジェクトのコードベースに含まれるサードパーティの依存関係の脆弱性については、101 ドルから 31,337 ドルの範囲で支払われます。
Google が自社のプロジェクト (およびコードの変更を追跡するために使用するソフトウェア) のバグを修正することは重要ですが、おそらく最も興味深いのは、サードパーティの依存関係に関する部分です。 プログラマーは、オープンソース プロジェクトのコードを使用することが多いため、同じ車輪を何度も再発明する必要はありません。 しかし、開発者は多くの場合、そのコードとその更新を直接インポートするため、サプライ チェーン攻撃の可能性が生じます。 それは、ハッカーが Google 自身によって直接管理されているコードを標的にするのではなく、これらのサードパーティの依存関係を標的にする場合です。
SolarWinds が示したように、この種の攻撃はオープンソース プロジェクトに限定されません。 しかし、ここ数年、大企業が依存関係のせいでセキュリティが危険にさらされているという話をいくつか見てきました。 この種の攻撃ベクトルを軽減する方法はいくつかあります。Google 自体が、人気のあるオープンソース プログラムのサブセットの調査と配布を開始しましたが、プロジェクトで使用されるすべてのコードをチェックすることはほとんど不可能です。 依存関係とファーストパーティのコードを確認するようコミュニティに奨励することで、Google はより広い範囲をカバーすることができます。
によると グーグルのルール、Open Source Software Vulnerability Rewards Program からの支払いは、バグの重大度と、バグが見つかったプロジェクトの重要性によって異なります (Fuchsia などは「フラグシップ」プロジェクトと見なされているため、最大の支払いがあります)。 サプライ チェーンの脆弱性に対する報奨金に関する追加の規則もいくつかあります。研究者は、Google に報告する前に、サードパーティ プロジェクトの実際の担当者に最初に通知する必要があります。 また、問題が Google のプロジェクトに影響することを証明する必要があります。 会社が使用していないライブラリの一部にバグがある場合、プログラムの対象外となります。
Google はまた、オープンソース プロジェクトで使用しているサードパーティのサービスやプラットフォームを人々が調べてほしくないと述べています。 GitHub リポジトリの構成方法に問題が見つかった場合は、問題ありません。 GitHub のログイン システムに問題が見つかった場合、それはカバーされません。 (Google は、「他のユーザーや企業に属する資産のセキュリティ調査を代理で行う」ことを人々に許可することはできないと述べています。)
お金に動機付けられていない研究者のために、Google は研究者が選んだ慈善団体に報酬を寄付することを申し出ています。
明らかに、これは Google がバグ報奨金を狙った最初のクラックではありません。 十年以上. しかし、同社が警鐘を鳴らしている問題に対して行動を起こしているのは良いことだ. 今年の初め、人気のあるオープンソースの Log4j ライブラリで Log4Shell エクスプロイトが発見された後、Google は、米国政府が重要なオープンソース プロジェクトのセキュリティ問題を発見して対処することにもっと関与する必要があると述べました。 それ以来、 なので ビープ音コンピュータ ノート、会社は持っています ペイアウトが一時的に増えた Kubernetes や Linux カーネルなどの特定のオープンソース プロジェクトでバグを見つけた人向けです。