Italiano
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
Casa
Sep 22, 2023
Google è aperto
By Mitchell Clark Google has introduced a new vulnerability rewards program to
Di Mitchell Clark
Google ha introdotto un nuovo programma di premi per la vulnerabilità per pagare i ricercatori che trovano difetti di sicurezza nel suo software open source o negli elementi costitutivi su cui è costruito il suo software. Pagherà da $ 101 a $ 31.337 per informazioni su bug in progetti come Angular, GoLang e Fuchsia o per vulnerabilità nelle dipendenze di terze parti incluse nei codici base di tali progetti.
Sebbene sia importante per Google correggere i bug nei propri progetti (e nel software che utilizza per tenere traccia delle modifiche al proprio codice, che il programma copre anche), forse la parte più interessante è la parte relativa alle dipendenze di terze parti. I programmatori utilizzano spesso il codice di progetti open source in modo da non dover reinventare continuamente la stessa ruota. Ma poiché gli sviluppatori spesso importano direttamente quel codice, così come eventuali aggiornamenti, ciò introduce la possibilità di attacchi alla catena di approvvigionamento. In questo caso gli hacker non prendono di mira il codice direttamente controllato da Google stessa, ma si concentrano invece su queste dipendenze di terze parti.
Le librerie open source a volte possono essere utilizzate come cavallo di Troia in progetti più grandi
Come ha dimostrato SolarWinds, questo tipo di attacco non si limita ai progetti open source. Ma negli ultimi anni abbiamo assistito a diverse storie in cui le grandi aziende hanno visto la loro sicurezza messa a rischio a causa delle dipendenze. Esistono modi per mitigare questo tipo di vettore di attacco: Google stessa ha iniziato a controllare e distribuire un sottoinsieme di popolari programmi open source, ma è quasi impossibile controllare tutto il codice utilizzato da un progetto. Incentivare la comunità a verificare le dipendenze e il codice proprietario aiuta Google a creare una rete più ampia.
Secondo le regole di Google, i pagamenti del programma di premi per la vulnerabilità del software open source dipenderanno dalla gravità del bug, nonché dall'importanza del progetto in cui è stato trovato (Fuchsia e simili sono considerati progetti "di punta" e quindi hanno la pagamenti maggiori). Ci sono anche alcune regole aggiuntive sui premi per le vulnerabilità della catena di approvvigionamento: i ricercatori dovranno informare chiunque sia effettivamente responsabile del progetto di terze parti prima di dirlo a Google. Devono anche dimostrare che il problema riguarda il progetto di Google; se c'è un bug in una parte della libreria che l'azienda non utilizza, non sarà idonea al programma.
"I ricercatori ora possono essere ricompensati per aver trovato bug che potrebbero avere un impatto sull'intero ecosistema open source."
Google afferma inoltre che non vuole che le persone curino i servizi o le piattaforme di terze parti che utilizza per i suoi progetti open source. Se riscontri un problema con la configurazione del repository GitHub, va bene; se riscontri un problema con il sistema di accesso di GitHub, questo non è coperto. (Google afferma di non poter autorizzare le persone a "condurre ricerche sulla sicurezza di risorse che appartengono ad altri utenti e aziende per loro conto.")
Per i ricercatori che non sono motivati dal denaro, Google offre di donare i loro premi a un ente di beneficenza scelto dal ricercatore: la società dice addirittura che raddoppierà quelle donazioni.
Ovviamente, questa non è la prima volta che Google attacca un bug bounty: ha avuto una qualche forma di programma di ricompensa per la vulnerabilità per oltre un decennio. Ma è bello vedere che l'azienda sta intervenendo su un problema per il quale ha lanciato l'allarme. All'inizio di quest'anno, sulla scia dell'exploit Log4Shell trovato nella popolare libreria open source Log4j, Google ha affermato che il governo degli Stati Uniti deve essere maggiormente coinvolto nella ricerca e nella gestione dei problemi di sicurezza nei progetti open source critici. Da allora, come nota BleepingComputer, la società ha temporaneamente aumentato i pagamenti per le persone che trovano bug in alcuni progetti open source come Kubernetes e il kernel Linux.
/ Iscriviti a Verge Deals per ricevere quotidianamente offerte sui prodotti che abbiamo testato nella tua casella di posta.