Português
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
Lar
Sep 22, 2023
Google está aberto
Por Mitchell Clark Google introduziu um novo programa de recompensas de vulnerabilidade para
Por Mitchell Clark
O Google introduziu um novo programa de recompensas por vulnerabilidade para pagar pesquisadores que encontrarem falhas de segurança em seu software de código aberto ou nos blocos de construção em que seu software é construído. Ele pagará de US$ 101 a US$ 31.337 por informações sobre bugs em projetos como Angular, GoLang e Fuchsia ou por vulnerabilidades nas dependências de terceiros incluídas nas bases de código desses projetos.
Embora seja importante para o Google corrigir bugs em seus próprios projetos (e no software que usa para acompanhar as alterações em seu código, que o programa também cobre), talvez a parte mais interessante seja a parte sobre dependências de terceiros. Os programadores costumam usar código de projetos de código aberto para que não tenham que reinventar continuamente a mesma roda. Mas, como os desenvolvedores geralmente importam diretamente esse código, bem como quaisquer atualizações, isso introduz a possibilidade de ataques à cadeia de suprimentos. É quando os hackers não visam o código controlado diretamente pelo próprio Google, mas vão atrás dessas dependências de terceiros.
As bibliotecas de código aberto às vezes podem ser usadas como um cavalo de Tróia em projetos maiores
Como a SolarWinds mostrou, esse tipo de ataque não se limita a projetos de código aberto. Mas nos últimos anos, vimos várias histórias em que grandes empresas tiveram sua segurança em risco devido a dependências. Existem maneiras de mitigar esse tipo de vetor de ataque - o próprio Google começou a examinar e distribuir um subconjunto de programas populares de código aberto, mas é quase impossível verificar todo o código que um projeto usa. Incentivar a comunidade a verificar as dependências e o código primário ajuda o Google a lançar uma rede mais ampla.
De acordo com as regras do Google, os pagamentos do Programa de Recompensas de Vulnerabilidade de Software de Código Aberto dependerão da gravidade do bug, bem como da importância do projeto em que foi encontrado (Fuchsia e similares são considerados projetos "carro-chefe" e, portanto, têm a maiores pagamentos). Existem também algumas regras adicionais sobre recompensas por vulnerabilidades da cadeia de suprimentos - os pesquisadores terão que informar quem está realmente encarregado do projeto de terceiros antes de informar o Google. Eles também precisam provar que o problema afeta o projeto do Google; se houver um bug em uma parte da biblioteca que a empresa não está usando, ela não será elegível para o programa.
“Os pesquisadores agora podem ser recompensados por encontrar bugs que podem afetar todo o ecossistema de código aberto”.
O Google também diz que não quer pessoas bisbilhotando serviços ou plataformas de terceiros que usa para seus projetos de código aberto. Se você encontrar um problema com a configuração do repositório GitHub, tudo bem; se você encontrar um problema com o sistema de login do GitHub, isso não será coberto. (O Google diz que não pode autorizar as pessoas a "conduzir pesquisas de segurança de ativos que pertencem a outros usuários e empresas em seu nome".)
Para pesquisadores que não são motivados por dinheiro, o Google se oferece para doar suas recompensas a uma instituição de caridade escolhida pelo pesquisador - a empresa ainda diz que dobrará essas doações.
Obviamente, este não é o primeiro crack do Google em uma recompensa por bug - ele teve algum tipo de programa de recompensa por vulnerabilidade por mais de uma década. Mas é bom ver que a empresa está agindo sobre um problema sobre o qual está alertando. No início deste ano, após a exploração do Log4Shell encontrada na popular biblioteca Log4j de código aberto, o Google disse que o governo dos EUA precisa se envolver mais em encontrar e lidar com problemas de segurança em projetos críticos de código aberto. Desde então, como observa o BleepingComputer, a empresa aumentou temporariamente os pagamentos para pessoas que encontram bugs em certos projetos de código aberto, como o Kubernetes e o kernel do Linux.
/ Inscreva-se no Verge Deals para obter ofertas em produtos que testamos enviados para sua caixa de entrada diariamente.