Language
Google открыт

Блог

ДомДом / Блог / Google открыт
search

Oct 22, 2023

10 крупнейших компаний по зарядке электромобилей в Европе

Jan 07, 2024

17 лучших поручней и бортиков для детской кроватки, которые обеспечат безопасность (и сдерживание) вашего ребенка

Aug 10, 2023

17 лучших поручней и бортиков для детской кроватки, которые обеспечат безопасность (и сдерживание) вашего ребенка

Nov 02, 2023

18 лучших ворот для собак, которые обеспечат безопасность вашей собаки в 2023 году

Apr 27, 2023

18 лучших ворот для собак, которые обеспечат безопасность вашей собаки в 2023 году

Отправьте запрос
ПРЕДСТАВЛЯТЬ НА РАССМОТРЕНИЕ

Sep 22, 2023

Google открыт

Автор Митчелл Кларк Google представил новую программу вознаграждений за уязвимости для

Митчелл Кларк

Google представил новую программу вознаграждений за уязвимости, чтобы платить исследователям, которые находят недостатки безопасности в ее программном обеспечении с открытым исходным кодом или в строительных блоках, на которых построено его программное обеспечение. Он будет платить от 101 до 31 337 долларов за информацию об ошибках в таких проектах, как Angular, GoLang и Fuchsia, или об уязвимостях в сторонних зависимостях, включенных в кодовые базы этих проектов.

Хотя для Google важно исправлять ошибки в своих собственных проектах (и в программном обеспечении, которое он использует для отслеживания изменений в своем коде, что также охватывает программа), возможно, самая интересная часть — это немного о сторонних зависимостях. Программисты часто используют код из проектов с открытым исходным кодом, поэтому им не приходится постоянно изобретать один и тот же велосипед. Но поскольку разработчики часто напрямую импортируют этот код, а также любые его обновления, это создает возможность атак в цепочке поставок. Именно тогда хакеры не атакуют код, напрямую контролируемый самим Google, а вместо этого атакуют сторонние зависимости.

Библиотеки с открытым исходным кодом иногда могут использоваться в качестве троянского коня в более крупных проектах.

Как показала SolarWinds, этот тип атаки не ограничивается проектами с открытым исходным кодом. Но за последние несколько лет мы видели несколько историй, когда безопасность крупных компаний подвергалась риску из-за зависимостей. Есть способы смягчить такого рода вектор атаки — Google сам начал проверять и распространять подмножество популярных программ с открытым исходным кодом, но практически невозможно проверить весь код, который использует проект. Стимулирование сообщества к проверке зависимостей и собственного кода помогает Google расширить сеть.

Согласно правилам Google, выплаты по программе вознаграждений за уязвимости в открытом программном обеспечении будут зависеть от серьезности ошибки, а также важности проекта, в котором она была обнаружена (Fuchsia и подобные ей проекты считаются «флагманскими» и поэтому имеют самые большие выплаты). Существуют также некоторые дополнительные правила в отношении вознаграждений за уязвимости в цепочке поставок — исследователям придется сначала проинформировать того, кто на самом деле отвечает за сторонний проект, прежде чем сообщать об этом Google. Им также необходимо доказать, что проблема затрагивает проект Google; если в той части библиотеки, которую компания не использует, есть ошибка, она не будет допущена к участию в программе.

«Теперь исследователи могут быть вознаграждены за обнаружение ошибок, которые потенциально могут повлиять на всю экосистему с открытым исходным кодом».

Google также заявляет, что не хочет, чтобы люди ковырялись в сторонних сервисах или платформах, которые он использует для своих проектов с открытым исходным кодом. Если вы обнаружите проблему с настройкой репозитория GitHub, ничего страшного; если вы обнаружите проблему с системой входа в систему GitHub, она не рассматривается. (Google заявляет, что не может разрешать людям «проводить исследования безопасности активов, принадлежащих другим пользователям и компаниям, от их имени».)

Для исследователей, которых не мотивируют деньги, Google предлагает пожертвовать вознаграждение в благотворительную организацию, выбранную исследователем — компания даже заявляет, что удвоит эти пожертвования.

Очевидно, что это не первый раз, когда Google пытается найти вознаграждение за обнаружение ошибок — у него уже более десяти лет действует какая-то программа вознаграждения за уязвимости. Но приятно видеть, что компания принимает меры по проблеме, по поводу которой она поднимает тревогу. Ранее в этом году, после эксплойта Log4Shell, обнаруженного в популярной библиотеке Log4j с открытым исходным кодом, Google заявил, что правительству США необходимо более активно участвовать в поиске и решении проблем безопасности в критически важных проектах с открытым исходным кодом. С тех пор, как отмечает BleepingComputer, компания временно увеличила выплаты людям, которые находят ошибки в некоторых проектах с открытым исходным кодом, таких как Kubernetes и ядро ​​Linux.

/ Подпишитесь на Verge Deals, чтобы ежедневно получать предложения по продуктам, которые мы протестировали, на ваш почтовый ящик.