O Google criou um programa de caça a bugs que recompensará aqueles que encontrarem e relatarem vulnerabilidades em seus projetos de código aberto. Portanto, deve fortalecer a segurança da cadeia de suprimentos de software. Assim, o Google paga mais de 31 mil dólares para quem achar bugs em programas de código aberto.
O Open Source Software Vulnerability Rewards Program (OSS VRP) pagará aos caçadores de bugs entre US$ 100 e US$ 31.337, com os pagamentos mais altos indo para “vulnerabilidades incomuns ou particularmente interessantes”, de acordo com os Googlers Francis Perron, gerente de programa técnico de segurança de código aberto e engenheiro de infosec Krzysztof Kotowicz.
Além disso, grandes pagamentos serão destinados aos pesquisadores que encontrarem e relatarem vulnerabilidades nos projetos de código aberto “mais sensíveis” mantidos pelo Google: Bazel, Angular, Golang, Protocol Buffers e Fuchsia.
Google paga mais de 31 mil dólares para quem achar bugs em programas de código aberto
Esses projetos são usados em vários produtos do titã da web: por exemplo, a linguagem de programação Go, projetada pelo Google, é muito usada em análises para ambientes de contêiner, enquanto seu sistema operacional Fuchsia alimenta dispositivos domésticos inteligentes, incluindo o Nest, da Alphabet.
Depois de 2021, que provou ser um ano marcante para a cadeia de suprimentos e ataques de software de código aberto, o mais recente VPR do Google busca hackers éticos para identificar falhas de segurança que podem levar ao comprometimento da cadeia de suprimentos e problemas de design que causam vulnerabilidades de produtos, bem como credenciais vazadas , senhas fracas e instalações inseguras.
“No ano passado, houve um aumento de 650% ano a ano nos ataques direcionados à cadeia de suprimentos de código aberto, incluindo incidentes como Codecov e a vulnerabilidade Log4j, que mostraram o potencial destrutivo de uma única vulnerabilidade de código aberto”, escreveram Perron e Kotowicz.
“O OSS VRP do Google faz parte de nosso compromisso de US$ 10 bilhões para melhorar a segurança cibernética, incluindo proteger a cadeia de suprimentos contra esses tipos de ataques para usuários do Google e consumidores de código aberto em todo o mundo”, acrescentaram.
O VRP original do Google, agora com 12 anos, expandiu-se ao longo dos anos e adicionou recompensas de bugs focadas no Chrome, Android e outros produtos e projetos. No início deste mês, o projeto capture-the-flag do Google, baseado em Kubernetes, que paga pesquisadores para explorar bugs no kernel Linux, aumentou permanentemente seus pagamentos para uma recompensa máxima de US$ 133.337.
No total, o Google pagou US$ 8,7 milhões em recompensas a quase 700 pesquisadores em seus vários VPRs no ano passado.
A medida também faz parte de um esforço mais amplo de empresas privadas de software e do governo federal para melhorar a cadeia de suprimentos e a segurança de código aberto.
Milhões gastos em segurança
Em maio, após uma reunião na Casa Branca, o Google e outras grandes empresas de tecnologia anunciaram um compromisso de mais de US$ 30 milhões para implementar um plano para melhorar a segurança da cadeia de suprimentos de software e código aberto.
Pouco depois, o Google anunciou um serviço chamado Assured Open Source Software, que tenta tornar mais fácil para as empresas proteger suas dependências de software de código aberto.
Embora recompensas de bugs bem administradas sejam sempre bem-vindas, os pagamentos relativamente parcimoniosos que o Google está oferecendo parecem um pouco baratos em comparação com o dinheiro oferecido por outras empresas e concorrentes, sem mencionar os compradores privados que procuram vulnerabilidades realmente boas.