کمیته رکن چهارم – گوگل یک برنامه جدید باگبانتی راهاندازی کرده و جایزه آن را بین ۱۰۰ تا ۳۱ هزار و ۳۳۷ دلار در نظر گرفته است.
گوگل یک برنامه باگبانتی راهاندازی کرده است که در آن به کسانی که آسیبپذیریها را در پروژههای منبع باز گوگل خود پیدا میکنند و گزارش میدهند، پاداش میدهد و امیدوار است که امنیت زنجیره تأمین نرمافزار را با این روش تقویت کند.
به گفته فرانسیس پرون و کریستوف کوتوویکز، کارمندان گوگل، برنامه پاداش آسیبپذیری نرمافزار منبعباز (OSS VRP) بین ۱۰۰ تا ۳۱ هزار و ۳۳۷ دلار به شکارچیان باگ پرداخت میکند و بالاترین جایزهها مربوط به آسیبپذیریهای غیرمعمول یا جالب توجه است.
علاوه بر این، پرداختهای کلان به محققانی تعلق میگیرد که آسیبپذیریها را در حساسترین پروژههای منبع باز تحت نظارت گوگل پیدا کرده و گزارش کنند که شامل پروژههای Bazel، Angular، Golang، Protocol Buffers، و Fuchsia میشود.
این پروژهها در چندین محصول تایتانوب استفاده میشوند. به عنوان مثال، زبان برنامهنویسی Go طراحیشده توسط گوگل بهشدت در تجزیه و تحلیل محیطهای کانتینری استفاده میشود، در حالی که سیستمعامل Fuchsia دستگاههای خانه هوشمند، از جمله Nest متعلق به Alphabet را پشتیبانی میکند.
پس از سال ۲۰۲۱ که سالی برای حملات به زنجیره تأمین نرمافزار و همچنین نرمافزارهای منبع باز بود، آخرین VPR گوگل به دنبال هکرهایی است که حفرههای امنیتی را که میتواند منجر به آسیبپذیری زنجیره تأمین، رمزهای عبور ضعیف، نصب برنامههای ناامن و مشکلات طراحی شود، شناسایی کند.
پرون و کوتوویکز نوشتند: سال گذشته شاهد افزایش ۶۵۰ درصدی حملاتی بودیم که زنجیره تأمین نرمافزار منبع باز را هدف قرار میدادند، از جمله این حوادث Codecov و آسیبپذیری Log4j بودند که پتانسیل مخرب یک آسیبپذیری منبع باز واحد را نشان داد.
آنها افزودند: برنامه باگبانتی جدید گوگل بخشی از تعهد ۱۰ میلیارد دلاری ما برای بهبود امنیت سایبری، از جمله تأمین امنیت زنجیره تأمین نرمافزار در برابر این نوع حملات برای کاربران گوگل و مصرفکنندگان منبع باز در سراسر جهان است.
باگبانتی اصلی گوگل که اکنون ۱۲ سال قدمت دارد، در طول سالها گسترش یافته و باگهایی را با تمرکز بر کروم، اندروید و سایر محصولات و پروژهها رفع کرده است. اوایل ماه آگوست، پروژه capture-the-flag مبتنی بر Kubernetes گوگل انجام شد که به محققان برای سوء استفاده از باگهای هسته لینوکس پاداشی حدود ۱۳۳ هزار و ۵۰۰ دلار به همراه داشت.
در مجموع، گوگل سال گذشته ۸.۷ میلیون دلار پاداش به تقریباً ۷۰۰ محقق در سراسر برنامههای باگبانتی مختلف خود پرداخت کرد.
این اقدام همچنین بخشی از تلاش گستردهتر شرکتهای نرمافزار خصوصی و همچنین دولت فدرال برای بهبود زنجیره تأمین و امنیت منبع باز است.
منبع: The Register