A recompensa de bugs de código aberto do Google visa reprimir ataques à cadeia de suprimentos

O Google introduziu um novo programa de recompensas por vulnerabilidades para pagar pesquisadores que encontrarem falhas de segurança em seu software de código aberto ou nos blocos de construção em que seu software é construído. Ele pagará de US$ 101 a US$ 31.337 por informações sobre bugs em projetos como Angular, GoLang e Fuchsia ou por vulnerabilidades nas dependências de terceiros incluídas nas bases de código desses projetos.

Embora seja importante para o Google corrigir bugs em seus próprios projetos (e no software que ele usa para acompanhar as alterações em seu código, que o programa também cobre), talvez a parte mais interessante seja a parte sobre dependências de terceiros. Os programadores costumam usar código de projetos de código aberto para que não precisem reinventar continuamente a mesma roda. Mas como os desenvolvedores geralmente importam diretamente esse código, bem como quaisquer atualizações, isso introduz a possibilidade de ataques à cadeia de suprimentos. É quando os hackers não visam o código diretamente controlado pelo próprio Google, mas vão atrás dessas dependências de terceiros.

Como a SolarWinds mostrou, esse tipo de ataque não se limita a projetos de código aberto. Mas nos últimos anos, vimos várias histórias em que grandes empresas tiveram sua segurança colocada em risco graças a dependências. Existem maneiras de mitigar esse tipo de vetor de ataque – o próprio Google começou a verificar e distribuir um subconjunto de programas populares de código aberto, mas é quase impossível verificar todo o código que um projeto usa. Incentivar a comunidade a verificar dependências e códigos próprios ajuda o Google a lançar uma rede mais ampla.

De acordo com as regras do Google, os pagamentos do Open Source Software Vulnerability Rewards Program dependerão da gravidade do bug, bem como da importância do projeto em que foi encontrado (Fuchsia e similares são considerados projetos “principais” e, portanto, têm a maiores pagamentos). Existem também algumas regras adicionais sobre recompensas por vulnerabilidades da cadeia de suprimentos – os pesquisadores terão que informar quem realmente está encarregado do projeto de terceiros primeiro antes de contar ao Google. Eles também precisam provar que o problema afeta o projeto do Google; se houver um bug em uma parte da biblioteca que a empresa não está usando, ela não será elegível para o programa.

O Google também diz que não quer pessoas bisbilhotando serviços de terceiros ou plataformas que usa para seus projetos de código aberto. Se você encontrar um problema com a configuração do repositório do GitHub, tudo bem; se você encontrar um problema com o sistema de login do GitHub, isso não será coberto. (O Google diz que não pode autorizar as pessoas a “conduzir pesquisas de segurança de ativos que pertencem a outros usuários e empresas em seu nome”.)

Para pesquisadores que não são motivados por dinheiro, o Google se oferece para doar suas recompensas para uma instituição de caridade escolhida pelo pesquisador – a empresa até diz que dobrará essas doações.

Obviamente, esta não é a primeira tentativa do Google em uma recompensa de bugs – ele tinha alguma forma de programa de recompensa de vulnerabilidade para mais de uma década. Mas é bom ver que a empresa está agindo em um problema sobre o qual vem alertando. No início deste ano, após a exploração do Log4Shell encontrada na popular biblioteca de código aberto Log4j, o Google disse que o governo dos EUA precisa estar mais envolvido em encontrar e lidar com problemas de segurança em projetos críticos de código aberto. Desde então, como BleepingComputador observa, a empresa aumentou temporariamente os pagamentos para pessoas que encontram bugs em certos projetos de código aberto, como Kubernetes e o kernel Linux.



https://linkmycontent.com/wp-content/uploads/situs-judi-slot-gacor-gampang-menang/

https://threeguru.com/wp-content/uploads/situs-slot-gacor-gampang-menang/

https://www.padslakecounty.org/wp-content/uploads/rekomendasi-situs-slot-gacor-gampang-menang/

https://sandpointmedspa.com/wp-content/uploads/bocoran-situs-slot-gacor-gampang-menang/

https://ihmcathedral.com/wp-includes/daftar-situs-slot-gacor-gampang-menang/

https://irisprojects.com/daftar-judi-slot-online-jackpot-terbesar/

www.techeasypay.com/slot-gacor-online-gampang-menang

https://www.clinicavalparaiso.cl/kumpulan-situs-slot-gacor-terbaik-gampang-menang-resmi/

https://www.forumartcentre.com/wp-includes/slot-gacor/

https://lawschoolsecretstosuccess.com/wp-includes/slot-gacor/

https://threeguru.com/wp-includes/link-situs-slot-gacor/