Googles Open-Source-Bug-Bounty zielt darauf ab, Angriffe auf die Lieferkette einzudämmen

Googles Open-Source-Bug-Bounty zielt darauf ab, Angriffe auf die Lieferkette einzudämmen

Google hat ein neues Belohnungsprogramm für Schwachstellen eingeführt Forscher zu bezahlen, die Sicherheitslücken in seiner Open-Source-Software oder in den Bausteinen finden, auf denen seine Software aufbaut. Es kostet zwischen 101 und 31.337 US-Dollar für Informationen über Fehler in Projekten wie Angular, GoLang und Fuchsia oder für Schwachstellen in den Abhängigkeiten von Drittanbietern, die in den Codebasen dieser Projekte enthalten sind.

Während es für Google wichtig ist, Fehler in seinen eigenen Projekten zu beheben (und in der Software, die es verwendet, um Änderungen an seinem Code zu verfolgen, die das Programm ebenfalls abdeckt), ist der vielleicht interessanteste Teil der Teil über Abhängigkeiten von Drittanbietern. Programmierer verwenden häufig Code aus Open-Source-Projekten, damit sie nicht ständig dasselbe Rad neu erfinden müssen. Da Entwickler diesen Code sowie alle Aktualisierungen jedoch häufig direkt importieren, besteht die Möglichkeit von Angriffen auf die Lieferkette. In diesem Fall zielen Hacker nicht auf den Code ab, der direkt von Google selbst kontrolliert wird, sondern gehen stattdessen diesen Abhängigkeiten von Drittanbietern nach.

Wie SolarWinds gezeigt hat, ist diese Art von Angriff nicht auf Open-Source-Projekte beschränkt. Aber in den letzten Jahren haben wir mehrere Geschichten gesehen, in denen die Sicherheit großer Unternehmen aufgrund von Abhängigkeiten aufs Spiel gesetzt wurde. Es gibt Möglichkeiten, diese Art von Angriffsvektoren abzuschwächen – Google selbst hat damit begonnen, eine Teilmenge beliebter Open-Source-Programme zu überprüfen und zu verteilen, aber es ist fast unmöglich, den gesamten Code, den ein Projekt verwendet, zu überprüfen. Indem die Community dazu angeregt wird, Abhängigkeiten und Erstanbietercode zu überprüfen, hilft Google, ein breiteres Netz zu werfen.

Entsprechend Googles Regeln, Auszahlungen aus dem Open Source Software Vulnerability Rewards Program hängen von der Schwere des Fehlers sowie der Bedeutung des Projekts ab, in dem er gefunden wurde (Fuchsia und dergleichen gelten als „Flaggschiff“-Projekte und haben daher die größten Auszahlungen). Es gibt auch einige zusätzliche Regeln in Bezug auf Prämien für Schwachstellen in der Lieferkette – die Forscher müssen zuerst denjenigen informieren, der tatsächlich für das Drittprojekt verantwortlich ist, bevor sie es Google mitteilen. Sie müssen auch nachweisen, dass das Problem Googles Projekt betrifft; Wenn es einen Fehler in einem Teil der Bibliothek gibt, den das Unternehmen nicht verwendet, ist es nicht für das Programm berechtigt.

Google sagt auch, dass es nicht möchte, dass Leute in Diensten oder Plattformen von Drittanbietern herumstöbern, die es für seine Open-Source-Projekte verwendet. Wenn Sie ein Problem mit der Konfiguration des GitHub-Repositorys finden, ist das in Ordnung. Wenn Sie ein Problem mit dem Anmeldesystem von GitHub finden, wird das nicht abgedeckt. (Google sagt, dass es Personen nicht autorisieren kann, „Sicherheitsuntersuchungen an Vermögenswerten durchzuführen, die anderen Benutzern und Unternehmen in ihrem Namen gehören“.)

Für Forscher, die nicht durch Geld motiviert sind, bietet Google an, ihre Belohnungen an eine vom Forscher ausgewählte Wohltätigkeitsorganisation zu spenden – das Unternehmen sagt sogar, dass es diese Spenden verdoppeln wird.

Offensichtlich ist dies nicht Googles erster Crack bei einem Bug Bounty – es hatte eine Art Belohnungsprogramm für Sicherheitslücken über ein Jahrzehnt. Aber es ist gut zu sehen, dass das Unternehmen Maßnahmen gegen ein Problem ergreift, über das es Alarm geschlagen hat. Anfang dieses Jahres, nach dem Log4Shell-Exploit, der in der beliebten Open-Source-Log4j-Bibliothek gefunden wurde, sagte Google, die US-Regierung müsse sich stärker an der Suche und Behandlung von Sicherheitsproblemen in kritischen Open-Source-Projekten beteiligen. Seit damals, wie Piepender Computer Anmerkungenhat das Unternehmen vorübergehend erhöhte Auszahlungen für Leute, die Fehler in bestimmten Open-Source-Projekten wie Kubernetes und dem Linux-Kernel finden.



Quellenlink