Google обіцяє винагороду за виявлення помилок у відкритому коді
Google представила нову програму заохочення пошуку вразливостей, щоб платити всім виявили недоліки безпеки в своєму програмному забезпеченні з відкритим вихідним кодом
Компанія Google зобов'язується платити від 101 до 31 337 доларів за інформацію про помилки в таких проектах, як Angular, GoLang і Fuchsia, або про вразливості в сторонніх об'єктах, які включені в кодові бази цих проектів, повідомив The Verge 30 Серпня 2022 року.
Для Google важливо виправляти помилки в авторських проектах, зокрема, в програмному забезпеченні, покликаному відстежувати зміни в коді. Програмісти часто використовують вже заготовленими шаблонами вже використовуваних кодів. Це призвело до того, що розробники безпосередньо імпортують код та його оновлення, що створює можливість атак на ланцюг поставок. Останнє означає, що хакери не націлюються на код, безпосередньо контрольований самим Google, а на сторонні уразливості.
Відкриті бібліотеки іноді використовуються як «троянський кінь» у великих проектах. Гіркий досвід SolarWinds продемонстрував, цей тип атаки не обмежується проектами з відкритим вихідним кодом. За останні кілька років сталися кілька історій, коли безпека великих компаній піддавалася ризику через вразливості. Є способи пом'якшити такий вектор атаки-Google сам почав перевіряти та розповсюджувати підмножину популярних програм з відкритим кодом, але перевірити весь код, який використовується в проекті, майже неможливо. Стимулювання спільноти до перевірки залежностей і власного коду допомагає Google розширити мережу.
Згідно з правилами Google, виплати за програмою винагород за уразливості програмного забезпечення з відкритим вихідним кодом будуть залежати від серйозності помилки, а також важливості проекту, в якому вона була виявлена.
Раніше «WorldBank.org.ua» розповів про те, що Google розповів як іранські хакери крадуть інформацію з облікових записів електронної пошти.