Si chiama Open Source Software Vulnerability Reward Program (in breve, OSS VRP) il "bounty program" che Google ha da poco lanciato per stimolare l'identificazione di nuove vulnerabilità nel codice dei suoi progetti open source. Si tratta di uno in più tra i vari Vulnerability Reward Program (VRP) che Big G ha attivato nel tempo, sempre con l'intenzione di rendere le sue piattaforme più sicure con il contributo della community.

In questo senso, da Google sottolineano come il primo VRP sia stato lanciato ormai più di dieci anni fa (per la precisione dodici). Nel tempo, questo primo VRP e i suoi "fratelli" successivi hanno premiato oltre 13 mila segnalazioni di vulnerabilità. Compensando chi le ha segnalate con, complessivamente, oltre 38 milioni di dollari.

Adesso è il momento giusto per lanciare un nuovo VRP, stavolta focalizzato sui progetti open source perché questi sono più vulnerabili rispetto a una minaccia crescente: i supply chain attack che violano i processi di sviluppo collaborativo. Dal caso Log4Shell in poi il mondo ha capito chiaramente quanto possa essere distruttiva anche una singola falla in codice largamente usato (senza troppi controlli, a dire il vero). E solo l'anno scorso, sottolinea Google, gli attacchi rivolti alle supply chain open source sono aumentati quasi di sette volte.

L'Open Source Software Vulnerability Reward Program copre tutti i progetti open source che al momento sono ospitati su repository pubblici come GitHub. Nella piena logica del contenimento dei supply chain attack, sono coinvolti anche i progetti di terze parti si cui si basano i progetti open source di Google e il programma copre non solo (anche se prevalentemente) il codice sorgente ma anche le configurazioni dei repository.

OSS VRP riguarda tutti i progetti open source di Google, che però sottolinea la maggiore importanza dei progetti cosiddetti flagship: Bazel, Angular, Golang, Protocol Buffers, Fuchsia. È su questi che gli esperti di sicurezza dovrebbero concentrarsi per primi e sono questi i progetti che garantiscono i premi maggiori in caso di scoperta di una vulnerabilità poi verificata da Google. Il massimo premio che si può ricevere per aver segnalato una singola vulnerabilità è di oltre 31 mila dollari.