O Google criou um programa de recompensas para bugs que recompensará aqueles que encontrarem e relatarem vulnerabilidades em seus projetos de código aberto, fortalecendo assim a segurança da cadeia de suprimentos de software.
A vulnerabilidade do software de código aberto O Programa de Recompensas (OSS VRP) pagará aos caçadores de bugs entre US$ 100 e US$ 31.337 (eleet, elite … geddit?), com os pagamentos mais altos indo para “vulnerabilidades incomuns ou particularmente interessantes”, de acordo com os Googlers Francis Perron, programa técnico de segurança de código aberto e engenheiro de infosec Krzysztof Kotowicz.
Além disso, grandes pagamentos serão destinados a pesquisadores que encontrarem e relatarem vulnerabilidades nos projetos de código aberto “mais sensíveis” mantidos pelo Google: Bazel, Angular, Golang, buffers de protocolo e fúcsia.
Esses projetos são usados em vários produtos do titã da web: por exemplo, a linguagem de programação Go, projetada pelo Google, é muito usada em análises para ambientes de contêiner, enquanto seu sistema operacional Fuchsia alimenta dispositivos de casa inteligente, incluindo o Nest, de propriedade da Alphabet.
Após 2021, que provou ser um ano marcante para a cadeia de suprimentos e ataques de software de código aberto, o mais recente VPR do Google busca hackers éticos para identificar falhas de segurança que podem levar ao fornecimento comprometimento da cadeia e problemas de design que causam vulnerabilidades no produto, bem como credenciais vazadas, senhas fracas e instalações inseguras.
“No ano passado houve um aumento de 650% ano a ano nos ataques direcionados à cadeia de suprimentos de código aberto, incluindo incidentes de destaque como Codecov e a vulnerabilidade Log4j que mostraram o potencial destrutivo de um único código aberto vulnerabilidade”, escreveram Perron e Kotowicz.
“O OSS VRP do Google faz parte de nosso compromisso de US$ 10 bilhões para melhorar a segurança cibernética, incluindo proteger a cadeia de suprimentos contra esses tipos de ataques para usuários do Google e consumidores de código aberto em todo o mundo”, acrescentaram.
O VRP original do Google, agora com 12 anos, expandiu-se ao longo dos anos e adicionou recompensas de bugs focadas no Chrome, Android e outros produtos e projetos. No início deste mês, o projeto capture-the-flag baseado em Kubernetes do Google, que paga pesquisadores para explorar bugs no kernel Linux, aumentou permanentemente seus pagamentos para uma recompensa máxima de US$ 133.337.
No total, o Google pagou US$ 8,7 milhões em recompensas para quase 700 pesquisadores em seus vários VPRs no ano passado.
A medida também faz parte de um esforço mais amplo de empresas privadas de software e do governo federal para melhorar a cadeia de suprimentos e a segurança de código aberto.
Em maio, após uma reunião na Casa Branca, Google e um punhado de outras grandes empresas de tecnologia anunciou um compromisso de mais de US$ 30 milhões para implementar um plano para melhorar a segurança da cadeia de suprimentos de software e código aberto. Pouco depois, o Google anunciou um serviço chamado Assured Open Source Software que tenta tornar mais fácil para as empresas protegerem suas dependências de software de código aberto.
Embora recompensas de bugs bem executadas sejam sempre bem-vindas, o pagamentos relativamente parcimoniosos que o Google está oferecendo parecem um pouco baratos em comparação com o dinheiro oferecido por outras empresas e concorrentes, sem mencionar os compradores privados que procuram vulnerabilidades realmente boas.
