Google ofrece hasta $31,337 por errores en proyectos de código abierto • The Register

Google ha creado un programa de recompensas por errores que recompensará a quienes encuentren e informen vulnerabilidades en sus proyectos de código abierto, con la esperanza de reforzar la seguridad de la cadena de suministro de software.

El programa Open Source Software Vulnerability Rewards (VRP OSS) pagará a los cazadores de errores entre $ 100 y $ 31,337 (eleet, elite … ¿geddit?), con los pagos más altos destinados a «vulnerabilidades inusuales o particularmente interesantes», según Googlers Francis Perron, gerente de programa técnico en seguridad de código abierto e ingeniero de infosec Krzysztof Kotowicz.

Además, grandes pagos se destinarán a los investigadores que encuentren e informen vulnerabilidades en los proyectos de código abierto «más sensibles» de Google: bazel, Angular, vamos, Búferes de protocoloy Fucsia.

Estos proyectos se utilizan en varios productos del titán web: por ejemplo, el lenguaje de programación Go diseñado por Google es utilizado intensivamente en análisis a entornos de contenedores, mientras que su Sistema operativo fucsia alimenta dispositivos domésticos inteligentes, incluido Nest, propiedad de Alphabet.

Después de 2021, que resultó ser un año pico para la cadena de suministro y los ataques de software de código abierto, el último VPR de Google está buscando piratas informáticos éticos para detectar vulnerabilidades de seguridad que podrían conducir a compromiso de la cadena de suministro y problemas de diseño que conducen a vulnerabilidades del producto, así como a credenciales filtradas, contraseñas débiles e instalaciones inseguras.

“El año pasado vimos un 650% aumento año tras año en los ataques dirigidos a la cadena de suministro de código abierto, incluidos incidentes de alto perfil como código cov y el Vulnerabilidad log4j que mostró el potencial destructivo de una sola vulnerabilidad de código abierto”, Perron y Kotowicz a escrito.

«El VRP OSS de Google es parte de nuestra $ 10 mil millones compromiso de mejorar la ciberseguridad, incluida la protección de la cadena de suministro contra este tipo de ataques para los usuarios de Google y los consumidores de código abierto en todo el mundo”, agregaron.

El VRP original de Google, que ahora tiene 12 años, ha crecido a lo largo de los años y ha agregado recompensas por errores centradas en Chrome, Android y otros productos y proyectos. A principios de este mes, el proyecto de capturar la bandera basado en Kubernetes de Google, que paga a los investigadores para explotar errores en el kernel de Linux, permanentemente aumentó sus pagos hasta una recompensa máxima de $133,337.

En total, Google pagó $ 8,7 millones en recompensas a casi 700 investigadores a través de sus diversos VPR el año pasado.

Esta decisión también forma parte de un esfuerzo más amplio de los proveedores de software privados, así como de la Gobierno federal para mejorar la cadena de suministro y la seguridad de código abierto.

En mayo, luego de una reunión en la Casa Blanca, Google y un puñado de otras grandes empresas tecnológicas anunciaron una Compromiso de más de $ 30 millones implementar un software de código abierto y un plan de mejora de la seguridad de la cadena de suministro de software. Poco después, Google anunció un servicio llamado Assured Open Source Software que intenta facilitar a las empresas la protección de sus dependencias de software de código abierto.

Si bien las recompensas por errores bien administradas siempre son bienvenidas, los pagos relativamente moderados que ofrece Google parecen un poco baratos en comparación con el dinero que ofrecen otras compañías y competidores, sin mencionar a los compradores privados que buscan vulnerabilidades muy buenas. ®