ABD’li teknoloji devi düzenlediği yeni bir bug bounty yarışması (hata ödül programı) ile açık kaynaklı projelerindeki güvenlik açıklarını bulup bildirenleri ödüllendiriyor. Firma böylece yazılım tedarik zinciri güvenliğini güçlendirmeyi umuyor.
Açık Kaynak Kodlu Yazılım Güvenlik Açığı Ödül Programı (OSS VRP), açık kaynak kodlu güvenlik teknik program yöneticisi Francis Perron ve bilgi güvenliği mühendisi Krzysztof Kotowicz’e göre, hata avcılarına 100 dolar ve 31.337 dolar arasında ödeme yapacak. En yüksek ödemeler “olağandışı ve ilginç güvenlik açıklarını” bulanlara yapılacak.
Öte yandan, Google tarafından sürdürülen Bazel, Angular, Golang, Protocol Buffers ve Fuchsia gibi açık kaynak projelerinin “en hassas”larındaki güvenlik açıklarını bulan ve bildirenleri de büyük ödüller bekliyor.
Bug Bounty, finans sektörüne siber güvenlikte hız kazandırabilir
Bu projeler, internet devinin birçok ürününde kullanılıyor. Örneğin, Google tarafından tasarlanan Go programlama dili, depolama ortamlarına yönelik analizlerde yoğun olarak kullanılırken, Fuchsia OS ise Alphabet’in sahip olduğu Nest de dahil olmak üzere akıllı ev cihazlarına güç veriyor.
2021 DERS OLDU, ÖDÜL PROGRAMLARINA AĞIRLIK VERİLDİ
Tedarik zinciri ve açık kaynaklı yazılım saldırıları açısından önemli bir yıl olan 2021’in ardından, Google’ın en son VPR’si (Güvenlik Açığı Ödül Programı) beyaz şapkalı hackerların tedarik zincirinin tehlikeye girmesine ve ürün güvenlik açıklarına neden olan tasarım sorunlarının yanı sıra sızdırılan kimlik bilgileri, zayıf parolalar ve güvensiz kurulumlara yol açabilecek güvenlik açıklarını tespit etmelerini istiyor.
Perron ve Kotowicz, “Geçen yıl, Codecov ve Log4j güvenlik açığı gibi tek bir açık kaynak güvenlik açığının yıkıcı potansiyelini gösteren önemli olaylar da dahil olmak üzere, açık kaynak tedarik zincirini hedef alan saldırılarda bir önceki yıla göre yüzde 650 artış görüldü” diye yazdılar ve eklediler:
“Google’ın açık kaynak projelerine odaklanan yeni Güvenlik Açığı Ödül Programı, hem Google kullanıcıları hem de dünya çapındaki açık kaynak tüketicileri için bu tür saldırılara karşı tedarik zincirini güvence altına almak da dahil olmak üzere siber güvenliği geliştirmeye yönelik 10 milyar dolarlık yatırım taahhüdümüzün bir parçasıdır.”
Google’ın bu yıl 12.’sini düzenlediği VRP’si yıllar içinde genişledi ve Chrome, Android ve diğer ürün ve projelere odaklanan hata ödülleri eklendi. Bu ayın başlarında, Google’ın Linux çekirdeğindeki hataları açığa çıkarmaları için araştırmacılara ödeme yapan Kubernetes tabanlı capture-the-flag projesi, ödemelerini kalıcı olarak 133.337 $’lık maksimum ödüle yükseltti.
Toplamda, Google geçen yıl çeşitli VPR’lerinde yaklaşık 700 araştırmacıya 8.7 milyon dolar ödül verdi.
BEYAZ SARAY TOPLANTISI SONRASI BUG BOUNTY MİKTARI ARTTI
Bu hamle aynı zamanda özel yazılım şirketlerinin yanı sıra federal hükümetin tedarik zinciri ve açık kaynak güvenliğini geliştirmeye yönelik daha geniş çaplı çabalarının bir parçası.
Mayıs ayında Beyaz Saray’da yapılan bir toplantının ardından Google ve diğer büyük teknoloji şirketleri, açık kaynak ve yazılım tedarik zinciri güvenliğini iyileştirmeye yönelik bir planın uygulanması için 30 milyon doların üzerinde yatırım yapacaklarına dair taahhütte bulunduklarını açıkladılar. Bundan kısa bir süre sonra Google, işletmelerin açık kaynaklı yazılım bağımlılıklarını güvence altına almalarını kolaylaştırmaya çalışan “Assured Open Source Software” adlı bir hizmet duyurdu.
