Google đã thông báo vào thứ Ba rằng họ đang khởi động một chương trình tiền thưởng cho việc phát hiện các lỗ hổng phần mềm mã nguồn mở hoặc các vấn đề khác, phần thưởng lên tới 31,337 đô la.
Chương trình Phần thưởng Lỗ hổng Phần mềm Nguồn mở (OSS VRP) là một trong những chương trình lỗ hổng bảo mật dành riêng cho mã nguồn mở. Gã khổng lồ công nghệ hiện đang duy trì một số dự án mã nguồn mở bao gồm Golang, Angular và Fuchsia, đồng thời đóng vai trò là một trong những người đóng góp và sử dụng các dự án nguồn mở lớn nhất trên thế giới.
Chương trình sẽ tập trung vào tất cả các phiên bản cập nhật của phần mềm được lưu trữ công khai của các tổ chức GitHub thuộc sở hữu của Google và các phụ thuộc bên thứ ba của dự án đó.
Công ty có kế hoạch mở rộng danh sách sau lần triển khai đầu tiên trong khi các giải thưởng hàng đầu sẽ thuộc về các lỗi được tìm thấy trong Bazel, Angular, Golang, Protocol buffers và Fuchsia.
Google đang tìm kiếm các lỗ hổng có thể dẫn đến xâm phạm chuỗi cung ứng hoặc các vấn đề thiết kế có thể gây ra lỗ hổng bảo mật cho sản phẩm.
Chương trình cũng sẽ chấp nhận các vấn đề bảo mật khác như thông tin đăng nhập nhạy cảm hoặc bị rò rỉ, mật khẩu yếu hoặc cài đặt không an toàn.
“Với những sự cố gần đây trong bảo mật nguồn mở (ví dụ: Log4Shell, Codecov), chúng tôi nhận thấy nhiều nhà nghiên cứu bảo mật quan tâm đến mã nguồn mở hơn. Chúng tôi muốn khuyến khích hơn nữa sự quan tâm đó, và có một phạm vi và phần thưởng rõ ràng cho những nhà nghiên cứu đó là một phần của chương trình”, một phát ngôn viên của Google nói với The Record.
Công ty cho biết việc sử dụng 31,337 đô la, chương trình sẽ cho phép những người tham gia quyên góp phần thưởng của họ cho tổ chức từ thiện với số tiền gấp đôi số tiền ban đầu.
“Cộng đồng đã liên tục làm chúng tôi ngạc nhiên với sự sáng tạo và quyết tâm của mình, và chúng tôi không thể chờ đợi để xem bạn có những lỗi và khám phá mới nào. Cùng nhau, chúng tôi có thể giúp cải thiện tính bảo mật của hệ sinh thái nguồn mở”, công ty cho biết.
Lấy cảm hứng từ Log4j
Google cho biết họ được truyền cảm hứng để bắt đầu chương trình do sự phổ biến ngày càng tăng của các lỗi nguồn mở bao gồm các lỗ hổng Log4j và Codecov. Đầu tháng này, Rob Silvers, Thứ trưởng phụ trách chính sách tại Bộ An ninh Nội địa Hoa Kỳ, đã gọi Log4j là “đặc hữu” và cho biết có thể mất “một thập kỷ hoặc lâu hơn” để giải quyết hoàn toàn do sự phổ biến của nó.
Google giải thích rằng chương trình mới sẽ cho phép các nhà nghiên cứu được thưởng khi tìm thấy các lỗi như Log4j (có khả năng ảnh hưởng đến toàn bộ hệ sinh thái nguồn mở).
Gã khổng lồ công nghệ lưu ý rằng các cuộc tấn công nhắm vào chuỗi cung ứng nguồn mở đã tăng 650% vào năm 2021.
“Chúng tôi hy vọng chương trình mới này sẽ hiển thị các lỗ hổng nghiêm trọng trong phần mềm nguồn mở, từ đó giúp cải thiện vị thế bảo mật tổng thể của hệ sinh thái nguồn mở”, Google cho biết.
Chương trình OSS tham gia một số chương trình phần thưởng lỗ hổng bảo mật khác mà Google đã bắt đầu gần 12 năm trước. Các chương trình tiền thưởng lỗi bao gồm những chương trình tập trung vào Chrome, Android và các sản phẩm khác của Google.
Google đã trả 38 triệu đô la cho hơn 13,000 bài nộp từ mọi người ở hơn 84 quốc gia.
Dự án mã nguồn mở là một phần trong nỗ lực lớn hơn 10 tỷ đô la của Google nhằm cải thiện an ninh mạng. Kể từ thất bại của Log4j, Google đã công bố kế hoạch tạo ra một “Nhóm bảo trì nguồn mở” mới có nhiệm vụ cải thiện tính bảo mật của các dự án nguồn mở quan trọng.
Google cũng đã tiết lộ hai dự án khác – Google Cloud Dataset từ Open Source Insights – được thiết kế để giúp các nhà phát triển hiểu rõ hơn về cấu trúc và tính bảo mật của phần mềm họ sử dụng.
Gã khổng lồ công nghệ nói thêm rằng họ sẽ cải thiện dịch vụ OSS-Fuzz cho các nhà phát triển nguồn mở đã giúp các nhà nghiên cứu phát hiện ra hơn 2.300 lỗ hổng trong hơn 500 dự án trong năm ngoái.