Google ha agregado una línea a su conjunto de programas de recompensas por vulnerabilidades (VRP) con el lanzamiento de una pista dedicada de software de código abierto (OSS) que recompensará a los piratas informáticos que divulguen errores en los proyectos de código abierto de Google.
Sus programas VRP existentes se remontan a 2010 y han recompensado colectivamente más de 13 000 presentaciones con pagos de más de $38 millones (£33 millones) que cubren múltiples productos, incluido el sistema operativo móvil (OS) Android y el navegador web Chrome.
Google mantiene varios proyectos de OSS, incluida la plataforma de desarrollo web Angular, el sistema operativo Fuchsia y el lenguaje de programación Golang. El lanzamiento de su OSS VRP es un momento significativo para el gigante de las búsquedas, ya que refleja un número creciente de vulnerabilidades de OSS descubiertas en los últimos tiempos, que brindan puertas de entrada para que los actores de amenazas se conviertan en múltiples víctimas potenciales.
Los ataques de alto impacto en la cadena de suministro habilitados por las vulnerabilidades de OSS incluyen el compromiso de abril de 2021 del servicio de auditoría de código Codecov y Log4Shell, cuyas consecuencias continúan resonando en todo el mundo nueve meses después.
“Google se enorgullece de apoyar y ser parte de la comunidad de software de código abierto. A través de nuestros programas de recompensas de errores existentes, hemos recompensado a los cazadores de errores de más de 84 países y esperamos aumentar ese número a través de este nuevo VRP”, escribieron el gerente del programa técnico de seguridad de código abierto de Google, Francis Perron, y el ingeniero de seguridad de la información Krzysztof Kotowicz.
“La comunidad nos ha sorprendido continuamente con su creatividad y determinación, y estamos ansiosos por ver qué nuevos errores y descubrimientos tienen reservados. Juntos, podemos ayudar a mejorar la seguridad del ecosistema de código abierto”.
El programa ha sido diseñado para alentar a los investigadores a revelar vulnerabilidades que tienen el mayor potencial o impactos reales en el mundo real. Cubrirá todas las versiones actualizadas de OSS almacenadas en los repositorios públicos de las organizaciones de GitHub propiedad de Google. También están en el alcance las dependencias de terceros de esos proyectos, aunque se requerirá una notificación a la dependencia afectada antes del envío a Google.
Además de Angular, Fuchsia y Golang, el lanzamiento inicial se centrará en otros dos proyectos particularmente sensibles: Bazel, una plataforma de compilación y prueba; y Protocol Buffers, un mecanismo para serializar datos estructurados, todos los cuales recibirán los premios más importantes, potencialmente de hasta $ 31,000. Google dijo que es probable que amplíe esta lista en el futuro.
Perron y Kotowicz dijeron que estaban particularmente interesados en conocer las vulnerabilidades que podrían comprometer la cadena de suministro, los problemas de diseño que podrían causar vulnerabilidades en los productos y problemas como credenciales confidenciales o filtradas, contraseñas débiles o instalaciones inseguras.
Se recomienda a los piratas informáticos que estén interesados en comenzar con el nuevo programa OSS VRP que consulten las reglas del programa, que se detallan aquí.
Más ampliamente, el OSS VRP forma parte de un compromiso de gasto de $ 10 mil millones realizado por Google en agosto de 2021 en una reunión de algunas de las compañías tecnológicas más grandes del mundo, incluidas Amazon, Apple, IBM y Microsoft, que se reunieron en la Casa Blanca. cumbre para apoyar el plan de acción de seguridad cibernética del presidente Biden.
Además de la seguridad de OSS, Google también está invirtiendo en confianza cero y seguridad de la cadena de suministro, y planea ayudar a más de cien mil personas a obtener acceso a certificaciones de habilidades digitales reconocidas por la industria.
