2min

Tags in dit artikel

, ,

Google introduceert een nieuw bug bounty programma om onderzoekers te belonen voor het vinden van kwetsbaarheden in open-source software.

Google betaalt tussen de 101 euro en 31.337 euro voor informatie over bugs in projecten als Angular, GoLang, en Fuchsia. De beloningen gelden evengoed voor kwetsbaarheden in de modules waaruit de projecten bestaan, waaronder open-source libraries.

De techgigant kondigde het programma aan op het Google Security Blog. Program manager Francis Perron en security engineer Krzysztof Kotowicz beschreven het project. “Met de toevoeging aan onze Vulnerability Reward Programs (VRP’s) kunnen onderzoekers beloond worden voor het vinden van bugs die mogelijk impact hebben op het gehele open-source ecosysteem. Met het nieuwe programma speelt Google in op het groeiende aantal supply chain-incidenten.”

Google supply chain security

Developers werken regelmatig met de code van open-source projecten. Soms wordt de code rechtstreeks geïmporteerd, waardoor het risico van supply chain attacks ontstaat. Dergelijke aanvallen maken geen misbruik van de code die door Google wordt beheerd, maar de code waarvan Google’s software afhangt.

“Vorig jaar steeg het aantal aanvallen op de open-source supply chain met 650 procent”, aldus de organisatie. Een belangrijk voorbeeld is de kwetsbaarheid in Log4j. Het incident demonstreerde hoe destructief een enkele open-source kwetsbaarheid kan zijn. Google is een voorstander en financier van open-source bounty-programma’s.

Voorwaarden

De beloningen van het nieuwe programma zijn relatief hoog. Om in aanmerking te komen moeten onderzoekers aan de voorwaarden van Google voldoen. Er zijn een aantal extra regels voor supply chain-kwetsbaarheden.

Deelnemers moeten eerst het management van de derde partij inlichten voordat ze de kwetsbaarheid bij Google aankaarten. Ook moeten deelnemers bewijzen dat de kwetsbaarheid gevolgen heeft voor Google. Een bug in een deel van een library dat niet door de techgigant wordt gebruikt komt niet in aanmerking voor het programma.