google, search engine, browser-76517.jpg

Googles nye bughunter bounty-program er målrettet mod open source-sårbarheder

Hele verden har tillid til Open Source og anvendes uden undtagelse af f.eks. Fortune 500 virksomheder. Dertil kommer at de største IT firmaer i verden er Open Source udbydere og selv anvender Open Source. De firmaer er samtidigt verdens største Open Source leverandører såsom Microsoft, Google, IBM, Apple og f.eks. Mozilla. Googles nye initiativ sætter fokus på yderligere sikkerhedsindsatser for Open Source for selvom Open Source opfattes som verdens sikreste kan der også ske sikkerhedshuller og der kan man bare nævne Log4j.

Penetrationstest

Alle Open Source kilder bruger naturligvis Penetrationstest løbende hver dag, men det er netop opdagelsen af nye sikkerhedshuller man satser på.

Det nye program tackler et stort problem i softwaresamfundet – en stigning i digitale forsyningskædekompromiser.

Google meddelte tirsdag, at det lancerer et nyt bug bounty-program, der fokuserer specifikt på open source-software. Fejljægere kan tjene alt fra $ 100 til op til $ 31.000 via det nye Open Source Software Vulnerability Rewards Program (OSS VRP), afhængigt af sværhedsgraden af den sårbarhed, de finder.

Det nye program tackler et stort problem i softwaresamfundet – en stigning i forsyningskædekompromiser. Med henvisning til en rapport fra softwarefirmaet Sonatype bemærkede Google, at angreb rettet mod open source-forsyningskæden voksede 650% år-til-år i 2021. Selv enkelte sårbarheder, som den alvorlige Nuldagssårbarhed i Apache Log4j Java bibliotek også kaldet Log4Shell der nu udnyttes aktivt af hackere og spioner. Det værste sikkerhedshul i 10 år siger flere kilder. Log4j Sikkerhedshullet der blev opdaget i december 2021, kan skabe udbredt kaos.

Googles nye program opfordrer fejljægere til at lede efter problemer i opdaterede versioner af open source-software (herunder lagerindstillinger), der er gemt i de offentlige arkiver i Google-ejede GitHub-organisationer såsom

Derfor fokuserer man også på disse projekters tredjepartsafhængigheder og man kan ikke når man er google som en af de største “GITHUB” leverandører bare blindt stole på Penetrationstest, da de jo alene indeholder alle kendte sikkerhedshuller, så selvom man benytter disse dagligt er det alene hensigten at Google får opbygget en hær af professionelle sikkerhedsspecialister, så må tiden vise om betalingen er go nok for f.eks. betalinger fra Microsoft er noget højere.

De bedste priser vil gå til sårbarheder, der findes i de mest følsomme projekter, som Google opretholder, herunder Bazel, Angular, Golang, Protocol buffers og Fuchsia. Google opfordrer også fejljægere til at kigge efter problemer, der kan have størst indflydelse på forsyningskæden, hvilket kan omfatte designproblemer, der forårsager produktsårbarheder eller sikkerhedsproblemer som lækkede legitimationsoplysninger.

Belønninger vil variere fra $ 100 til $ 31,337, afhængigt af sværhedsgraden af sårbarheden og projektets betydning. “De større beløb vil også gå til usædvanlige eller særligt interessante sårbarheder, så kreativitet tilskyndes,” tilføjede Google i sit blogindlæg.

OSS VRP er en del af de 10 milliarder dollars, som Google har forpligtet sig til at bruge på amerikansk cybersikkerhed. Google forpligtede sig sidste år efter et møde i Det Hvide Hus, hvor Biden-administrationen understregede, at potentielle sårbarheder i open source-software er et nationalt sikkerhedsproblem.

Kilde: Google
Grafik: Google

Scroll til toppen