Google Pazartesi günü, açık kaynak projeleri için ekosistemi tedarik zinciri saldırılarından korumak için 100 ila 31.337 $ (eleet veya leet referansı) arasında herhangi bir yerde ödemeler sunan yeni bir hata ödül programı başlattı.
Açık Kaynak Yazılım Güvenlik Açığı Ödül Programı (OSS VRP) olarak adlandırılan teklif, ilk açık kaynağa özgü güvenlik açığı programlarından biridir.
Angular, Bazel, Golang, Protocol Buffers ve Fuchsia gibi büyük projelerin sahibi olan teknoloji devi ile program, aksi takdirde daha geniş açık kaynak ortamı üzerinde önemli bir etkisi olabilecek güvenlik açığı keşiflerini ödüllendirmeyi amaçlıyor.
Google tarafından yönetilen ve GitHub gibi herkese açık havuzlarda barındırılan diğer projeler ve bu projelere dahil olan üçüncü taraf bağımlılıkları da uygundur.
Böcek avcılarından gelen gönderilerin aşağıdaki kriterleri karşılaması bekleniyor –
- Tedarik zinciri uzlaşmasına yol açan güvenlik açıkları
- Ürün güvenlik açıklarına neden olan tasarım sorunları
- Hassas veya sızdırılmış kimlik bilgileri, zayıf parolalar veya güvenli olmayan yüklemeler gibi diğer güvenlik sorunları
Maven, NPM, PyPI ve RubyGems’i hedef alan tedarik zinciri saldırılarındaki sürekli artışın ardından açık kaynak bileşenlerini, özellikle de birçok yazılımın yapı taşı görevi gören üçüncü taraf kitaplıklarını güçlendirmek, en büyük öncelik haline geldi.
 |
| Resim kredisi: Sonatype |
Aralık 2021’de gün ışığına çıkan Log4j Java günlük kitaplığındaki Log4Shell güvenlik açığı, yaygın bir tahribata neden olan ve yazılım tedarik zincirinin durumunu iyileştirmek için açık bir çağrı haline gelen başlıca örnektir.
Google’dan Francis Perron ve Krzysztof Kotowicz, “Geçen yıl Codecov ve tek bir açık kaynak güvenlik açığının yıkıcı potansiyelini gösteren Log4j güvenlik açığı gibi ana olaylar da dahil olmak üzere açık kaynak tedarik zincirini hedef alan saldırılarda yıldan yıla %650 artış görüldü” dedi. söz konusu.
Bu hamle, Google’ın geçen Kasım ayında ayrıcalık artışını ve Kubernetes’in Linux Çekirdeğindeki istismarlardan kaçışını ortaya çıkarmak için başlattığı benzer bir ödül programını takip ediyor. O zamandan beri maksimum tutarı 50.337 dolardan 2022’nin sonuna kadar 91.337 dolara çıkardı.
Bu Mayıs ayının başlarında, internet devi, kritik açık kaynak projelerinin güvenliğini artırmaya odaklanmak için yeni bir “Açık Kaynak Bakım Ekibi” oluşturulduğunu duyurdu.