Een nieuw beloningsprogramma met premies tot 31.400 dollar moet ethische hackers aanmoedigen om lekken te ontdekken in opensource programma’s van Google en van toeleveringsprogramma’s.
Google heeft een nieuw beloningsprogramma voorgesteld. Met het Open Source Software Vulnerability Rewards Program, kortweg OSS VRP, wil Google lekken en zwaktes opsporen in haar Open Source projecten. Daarnaast wil Google hackers laten meespeuren naar zwaktes in zogeheten third-party dependencies. Dat zijn codes die programmeurs gebruiken van andere opensource projecten die niet door Google zijn gecontroleerd. Net die codes in de toeleveringsketen blijken bij niet zo ethische hackers de jongste jaren steeds meer in trek.
Opensource is kwetsbaar
Google staat al 12 jaar op de voorgrond wanneer het om beloningsprogramma’s gaat. De originele VRP was bedoeld om de code van Google veiliger en betrouwbaarder te maken. Door de jaren heen evolueerde het programma en legde het ook de focus op Chrome, Android en andere gebieden. Sinds de start van VRP keerde Google liefst meer dan 13.000 beloningen uit voor in totaal meer dan 38 miljoen dollar.
Met de nieuwe tak van het VRP vestigt Google de aandacht op de opensource code. Volgens de blog steeg het aantal aanvallen in een jaar met meer dan 650 procent. De hackers richtten zich op de toeleveringsketen met als grootste incidenten Codecov en Log4j. Google is de grootste aanbieder van opensource programma’s zoals Golang, Angular en Fuschia. Voor die en andere OSS wil Google de veiligheidsriem aanspannen. Het OSS VRP krijgt dan ook een prominente plaats in het VRP dat goed is voor 10 miljard dollar.
Riante beloningen
Het OSS VRP van Google moedigt onderzoekers aan om mee te speuren naar zwaktes in de Open Source programma’s van Google en de codes in de toeleveringsketen. Het programma focust op alle versies van de OSS en repositorie-instellingen die zijn opgeslagen in publieke repositories van GitHub-organisaties die eigendom zijn van Google. Google, Google API’s en Google Cloud Platform om er maar enkele te noemen.
Naast de eigen OSS mikt het programma ook op het blootleggen van zwaktes in third-party dependencies. Al moet die dependency wel gelinkt zijn aan OSS van Google. De beloningen variëren tussen 100 en meer dan 31.400 dollar, afhankelijk van het zwakte en de impact op het hele opensource ecosysteem. Wanneer het om een third-party gaat, dan moet de onderzoeker eerst die programmeur aanspreken.
Een ethische hacker die geen cent geeft om de beloning, kan ervoor kiezen om het geld weg te schenken aan een goed doel. In dat geval verdubbelt Google de waarde van de schenking. Wie zich geroepen voelt, kan terecht op de bughunters-website van Google.