Angular, Go und Bazel: Google erweitert Bug-Bounty-Programm auf OSS-Abhängigkeiten

Um die sogenannte Supply-Chain besser abzusichern, verteilt Google Bug-Bountys für seine Open-Source-Projekte und deren Abhängigkeiten.

Artikel veröffentlicht am ,
Die Bug-Bountys von Google gibt es künftig auch für Abhängigkeiten.
Die Bug-Bountys von Google gibt es künftig auch für Abhängigkeiten. (Bild: Google)

Das Bug-Bounty-Programm von Google wird um einen speziellen Open-Source-Bereich erweitert. Das kündigt das Unternehmen in seinem Security-Blog an. Sicherheitsforscher erhalten damit eine Belohnung für das Auffinden von Sicherheitslücken in von Google betreuten Open-Source-Projekten sowie deren Abhängigkeiten.

Stellenmarkt
  1. Microsoft 365 Consultant (m/w/d)
    HÜBNER GmbH & Co. KG, Kassel
  2. Anforderungsmanager (m/w/d)
    Volkswagen AG, Wolfsburg
Detailsuche

Das Unternehmen gehört zu einem der ersten, das ein Bug-Bounty-Programm gestartet hat und bietet das sogenannte Vulnerability Rewards Program (VRP) nun schon seit zwölf Jahren. In dieser Zeit wurde der Umfang der Software, die darunter fällt, immer wieder erweitert. Zu dem neuen OSS VPR heißt es: "Forscher können jetzt für das Auffinden von Fehlern belohnt werden, die sich potenziell auf das gesamte Open-Source-Ökosystem auswirken könnten."

Das neue Open-Source-Programm umfasst dabei sämtliche öffentlichen Projekte in einem zu Google gehörenden Repository auf Github. Hinzu kommen explizit auch deren Abhängigkeiten, sofern deren Betreuer vorher von den Forschern über die Teilnahme an dem Google-Programm informiert werden. Die höchsten Beträge will Google zunächst für die aus seiner Sicht wichtigsten Projekte auszahlen. Dazu zählen Bazel, Angular, die Programmiersprache Go, Protocol Buffers und Fuchsia.

Dass Google das erweitert Bug-Bounty-Programm auch für die Abhängigkeiten öffnet, zeigt ein verändertes Bewusstsein mit Blick auf die sogenannte Software-Supply-Chain. Laut Google sind Angriffe darauf allein im vergangen Jahr um 650 Prozent gewachsen. Dazu gehörten die Angriffe bei Codecov oder auch die Lücke in Log4j, so Google. Das Unternehmen gehört außerdem zu den Initiatoren der Open Source Security Foundation (OpenSSF), die viel Geld in die Verbesserung der Open-Source-Sicherheit steckt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Core-i-13000
Intel präsentiert Raptor Lake mit bis zu 5,8 GHz

Auf der Innovation hat Intel die 13. Core Generation vorgestellt. Kernzahl, Takt und Effizienz sollen deutlich steigen.

Core-i-13000: Intel präsentiert Raptor Lake mit bis zu 5,8 GHz
Artikel
  1. Ukrainekrieg: Meta stoppt ausgefeilte russische Desinformationskampagne
    Ukrainekrieg
    Meta stoppt ausgefeilte russische Desinformationskampagne

    Gefakte Webseiten deutscher Medien machen Stimmung gegen die Russland-Sanktionen. Die falschen Artikel wurden über soziale Medien verbreitet.

  2. Star Wars: Lego bringt großes Set der Razor Crest aus The Mandalorian
    Star Wars
    Lego bringt großes Set der Razor Crest aus The Mandalorian

    Aus fast 6.200 Teilen besteht das große Lego-Set der Razor Crest. Sie ist teuer, nicht aber für ein Star-Wars-Set.

  3. Creative Commons, Pixabay, Unsplash: Rechtliche Fallstricke bei Gratis-Stockfotos
    Creative Commons, Pixabay, Unsplash
    Rechtliche Fallstricke bei Gratis-Stockfotos

    Pixabay, Unsplash, CC ermöglichen eine gebührenfreie Nutzung kreativer Werke. Vorsicht ist dennoch geboten: vor Abmahnmaschen, falschen Quellenangaben, unklarer Rechtslage.
    Eine Analyse von Florian Zandt

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • AMD Ryzen 7000 jetzt bestellbar • CyberWeek: PC-Tower, Cooling & Co. • Günstig wie nie: Asus RX 6700 XT 539€, Acer 31,5" 4K 144 Hz 899€, MSI RTX 3090 1.159€ • AMD Ryzen 7 5800X 287,99€ • Xbox Wireless Controller 49,99€ • MindStar (Gigabyte RTX 3060 Ti 522€) [Werbung]
    •  /