Google hat ein neues Belohnungsprogramm für Schwachstellen eingeführt, um Forscher zu entschädigen, die Sicherheitslücken in seiner Open-Source-Software oder in den Bausteinen finden, auf denen seine Software aufbaut. Es zahlt zwischen 101 und 31.337 US-Dollar für Fehlerberichte in Projekten wie Angular, GoLang und Fuchsia oder für Schwachstellen in Abhängigkeiten von Drittanbietern, die in den Codebasen dieser Projekte enthalten sind.
Während es für Google wichtig ist, Fehler in seinen eigenen Projekten zu beheben (und in der Software, die es verwendet, um Änderungen an seinem Code zu verfolgen, die das Programm ebenfalls abdeckt), betrifft der vielleicht interessanteste Teil die Abhängigkeiten von Drittanbietern. Programmierer verwenden häufig Code aus Open-Source-Projekten, um nicht ständig dasselbe Rad neu erfinden zu müssen. Da Entwickler diesen Code jedoch oft direkt importieren, zusammen mit allen Aktualisierungen, führt dies zu Angriffen auf die Lieferkette. In diesem Fall zielen Hacker nicht auf den direkt von Google selbst kontrollierten Code ab, sondern greifen diese Abhängigkeiten von Drittanbietern an.
Wie SolarWinds gezeigt hat, ist diese Art von Angriff nicht auf Open-Source-Projekte beschränkt. Aber in den letzten Jahren haben wir mehrere Fälle gesehen, in denen die Sicherheit großer Unternehmen aufgrund von Abhängigkeiten kompromittiert wurde. Es gibt Möglichkeiten, diese Art von Angriffsvektoren zu entschärfen – Google selbst hat damit begonnen, eine Teilmenge beliebter Open-Source-Programme zu verifizieren und zu verteilen, aber den gesamten Code zu verifizieren, der von einem Projekt verwendet wird, ist fast unmöglich. . Die Ermutigung der Community, Abhängigkeiten und proprietären Code zu überprüfen, hilft Google, sein Netzwerk zu erweitern.
Gemäß den Regeln von Google hängen die Auszahlungen des Open Source Software Vulnerability Rewards-Programms von der Schwere des Fehlers sowie der Bedeutung des Projekts ab, in dem er gefunden wurde (Fuchsia und andere gelten als „Flaggschiff“-Projekte und haben daher die größten Auszahlungen). . Es gibt auch zusätzliche Regeln in Bezug auf Prämien für Schwachstellen in der Lieferkette – die Forscher müssen zuerst sagen, wer tatsächlich für das Drittprojekt verantwortlich ist, bevor sie es Google mitteilen. Sie müssen auch nachweisen, dass das Problem Googles Projekt betrifft; Wenn in einem Teil der Bibliothek, den das Unternehmen nicht verwendet, ein Fehler auftritt, ist es nicht für das Programm berechtigt.
Google sagt auch, dass es nicht möchte, dass Leute in Dienste oder Plattformen von Drittanbietern eintauchen, die es für seine Open-Source-Projekte verwendet. Wenn Sie ein Problem mit der Konfiguration des GitHub-Repositorys haben, ist das in Ordnung; Wenn Sie ein Problem mit dem Anmeldesystem von GitHub haben, ist das nicht abgedeckt. (Google sagt, dass es Personen nicht erlauben kann, „Sicherheitssuchen an Vermögenswerten durchzuführen, die anderen Benutzern und Unternehmen in ihrem Namen gehören“.)
Für Suchende, die nicht durch Geld motiviert sind, bietet Google an, ihre Belohnungen an eine Wohltätigkeitsorganisation der Wahl des Suchenden zu spenden – das Unternehmen sagt sogar, dass es diese Spenden verdoppeln wird.
Offensichtlich ist dies nicht das erste Mal, dass Google ein Bug Bounty geknackt hat – es gab eine Art Belohnungsprogramm für Sicherheitslücken mehr als ein Jahrzehnt. Aber es ist gut zu sehen, dass das Unternehmen auf ein Problem reagiert, wegen dem es Alarm geschlagen hat. Anfang dieses Jahres, nach dem Log4Shell-Exploit, der in der beliebten Open-Source-Bibliothek Log4j gefunden wurde, sagte Google, die US-Regierung müsse sich stärker an der Untersuchung und Behandlung von Sicherheitsproblemen in Open-Source-Projekten beteiligen. Seitdem als BeepComputer Beachten Sie, dass das Unternehmen die Zahlungen für Personen, die Fehler in bestimmten Open-Source-Projekten wie Kubernetes und dem Linux-Kernel finden, vorübergehend erhöht hat.
Previously published on www.theverge.com