Angular, Go und Bazel: Google erweitert Bug-Bounty-Programm auf OSS-Abhängigkeiten
Das Bug-Bounty-Programm von Google wird um einen speziellen Open-Source-Bereich erweitert. Das kündigt das Unternehmen in seinem Security-Blog(öffnet im neuen Fenster) an. Sicherheitsforscher erhalten damit eine Belohnung für das Auffinden von Sicherheitslücken in von Google betreuten Open-Source-Projekten sowie deren Abhängigkeiten.
Das Unternehmen gehört zu einem der ersten, das ein Bug-Bounty-Programm gestartet hat und bietet das sogenannte Vulnerability Rewards Program (VRP) nun schon seit zwölf Jahren. In dieser Zeit wurde der Umfang der Software, die darunter fällt, immer wieder erweitert. Zu dem neuen OSS VPR heißt es: "Forscher können jetzt für das Auffinden von Fehlern belohnt werden, die sich potenziell auf das gesamte Open-Source-Ökosystem auswirken könnten."
Das neue Open-Source-Programm umfasst dabei sämtliche öffentlichen Projekte in einem zu Google gehörenden Repository auf Github. Hinzu kommen explizit auch deren Abhängigkeiten, sofern deren Betreuer vorher von den Forschern über die Teilnahme an dem Google-Programm informiert werden. Die höchsten Beträge will Google zunächst für die aus seiner Sicht wichtigsten Projekte auszahlen. Dazu zählen Bazel, Angular, die Programmiersprache Go, Protocol Buffers und Fuchsia.
Dass Google das erweitert Bug-Bounty-Programm auch für die Abhängigkeiten öffnet, zeigt ein verändertes Bewusstsein mit Blick auf die sogenannte Software-Supply-Chain. Laut Google sind Angriffe darauf allein im vergangen Jahr um 650 Prozent gewachsen. Dazu gehörten die Angriffe bei Codecov oder auch die Lücke in Log4j , so Google. Das Unternehmen gehört außerdem zu den Initiatoren der Open Source Security Foundation (OpenSSF), die viel Geld in die Verbesserung der Open-Source-Sicherheit steckt .
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.