Google lancia un "bounty program" per il suo open source

Lo Open Source Software Vulnerability Reward Program chiama gli esperti a scoprire le falle nelle supply chain dei principali progetti di Google

Sicurezza

Si chiama Open Source Software Vulnerability Reward Program (in breve, OSS VRP) il "bounty program" che Google ha da poco lanciato per stimolare l'identificazione di nuove vulnerabilità nel codice dei suoi progetti open source. Si tratta di uno in più tra i vari Vulnerability Reward Program (VRP) che Big G ha attivato nel tempo, sempre con l'intenzione di rendere le sue piattaforme più sicure con il contributo della community.

In questo senso, da Google sottolineano come il primo VRP sia stato lanciato ormai più di dieci anni fa (per la precisione dodici). Nel tempo, questo primo VRP e i suoi "fratelli" successivi hanno premiato oltre 13 mila segnalazioni di vulnerabilità. Compensando chi le ha segnalate con, complessivamente, oltre 38 milioni di dollari.

Adesso è il momento giusto per lanciare un nuovo VRP, stavolta focalizzato sui progetti open source perché questi sono più vulnerabili rispetto a una minaccia crescente: i supply chain attack che violano i processi di sviluppo collaborativo. Dal caso Log4Shell in poi il mondo ha capito chiaramente quanto possa essere distruttiva anche una singola falla in codice largamente usato (senza troppi controlli, a dire il vero). E solo l'anno scorso, sottolinea Google, gli attacchi rivolti alle supply chain open source sono aumentati quasi di sette volte.

L'Open Source Software Vulnerability Reward Program copre tutti i progetti open source che al momento sono ospitati su repository pubblici come GitHub. Nella piena logica del contenimento dei supply chain attack, sono coinvolti anche i progetti di terze parti si cui si basano i progetti open source di Google e il programma copre non solo (anche se prevalentemente) il codice sorgente ma anche le configurazioni dei repository.

OSS VRP riguarda tutti i progetti open source di Google, che però sottolinea la maggiore importanza dei progetti cosiddetti flagship: Bazel, Angular, Golang, Protocol Buffers, Fuchsia. È su questi che gli esperti di sicurezza dovrebbero concentrarsi per primi e sono questi i progetti che garantiscono i premi maggiori in caso di scoperta di una vulnerabilità poi verificata da Google. Il massimo premio che si può ricevere per aver segnalato una singola vulnerabilità è di oltre 31 mila dollari.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di ImpresaCity.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale

Red Hat Summit Connect e Open Source Day

Download

La nuova cyber security: cosa ne pensano i CISO italiani

Speciale

Internet of Things in Italia: Sviluppo e Novità

Monografia

La sostenibilità al centro

Speciale

Software Enterprise

Calendario Tutto

Feb 16
Commvault Connections on the Road | Milano
Mar 08
DIDACTA 2023: Omada SDN per il settore Education - 8/10 Marzo
Mar 22
IDC Future of Work
Giu 08
MSP DAY 2023 - 8/9 Giugno

Magazine Tutti i numeri

ImpresaCity Magazine


Leggi il Magazine

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter