谷歌周一为其开源项目推出了一项新的漏洞赏金计划,提供从 100 美元到 31,337 美元(参考eleet 或 leet)的任何奖金,以保护生态系统免受供应链攻击。
该产品称为开源软件漏洞奖励计划 (OSS VRP),是首批特定于开源的漏洞计划之一。
这家科技巨头是 Angular、Bazel、Golang、Protocol Buffers 和 Fuchsia 等主要项目的维护者,该计划旨在奖励那些可能对更大的开源领域产生重大影响的漏洞发现。
由 Google 管理并托管在 GitHub 等公共存储库上的其他项目以及这些项目中包含的第三方依赖项也符合条件。
来自错误猎人的提交预计将满足以下标准 –
- 导致供应链受损的漏洞
- 导致产品漏洞的设计问题
- 其他安全问题,例如敏感或泄露的凭据、弱密码或不安全的安装
随着针对 Maven、NPM、PyPI 和 RubyGems 的供应链攻击不断升级,加强开源组件,特别是作为许多软件构建块的第三方库,已成为当务之急。
图片来源:Sonatype |
2021 年 12 月曝光的 Log4j Java 日志库中的Log4Shell 漏洞就是一个典型例子,它造成了广泛的破坏,并成为改善软件供应链状态的号角。
谷歌的 Francis Perron 和 Krzysztof Kotowicz 表示:“去年,针对开源供应链的攻击同比增长了650%,包括Codecov和 Log4j 漏洞等头条新闻,这些事件显示了单个开源漏洞的破坏性潜力。”说。
此举是在去年 11 月谷歌为发现 Linux 内核中的特权升级和 Kubernetes 逃逸漏洞而制定的类似奖励计划之后进行的。此后,它已将最高金额从 50,337 美元提高到 91,337 美元,直到 2022 年底。
今年五月初,这家互联网巨头宣布成立一个新的“开源维护团队”,专注于加强关键开源项目的安全性。
稿源:TheHackerNews,中文化:YouXia.ORG
标签: 供应链攻击