Deutsch
English
Français
Español
Italiano
Português
日本語
한국어
Русский
Heim
Sep 22, 2023
Google ist geöffnet
Von Mitchell Clark Google hat ein neues Belohnungsprogramm für Schwachstellen eingeführt
Von Mitchell Clark
Google hat ein neues Belohnungsprogramm für Schwachstellen eingeführt, um Forscher zu bezahlen, die Sicherheitslücken in seiner Open-Source-Software oder in den Bausteinen finden, auf denen seine Software aufbaut. Für Informationen über Fehler in Projekten wie Angular, GoLang und Fuchsia oder für Schwachstellen in den Abhängigkeiten von Drittanbietern, die in den Codebasen dieser Projekte enthalten sind, werden zwischen 101 und 31.337 US-Dollar gezahlt.
Während es für Google wichtig ist, Fehler in seinen eigenen Projekten zu beheben (und in der Software, die es verwendet, um Änderungen an seinem Code zu verfolgen, die das Programm auch abdeckt), ist der vielleicht interessanteste Teil der Teil über Abhängigkeiten von Drittanbietern. Programmierer verwenden oft Code aus Open-Source-Projekten, damit sie nicht ständig das gleiche Rad neu erfinden müssen. Da Entwickler diesen Code sowie alle Aktualisierungen häufig direkt importieren, besteht jedoch die Möglichkeit von Angriffen auf die Lieferkette. Dann greifen Hacker nicht den direkt von Google selbst kontrollierten Code an, sondern greifen stattdessen auf diese Abhängigkeiten von Drittanbietern zurück.
Open-Source-Bibliotheken können manchmal als Trojanisches Pferd in größeren Projekten eingesetzt werden
Wie SolarWinds gezeigt hat, ist diese Art von Angriff nicht auf Open-Source-Projekte beschränkt. Aber in den letzten Jahren haben wir mehrere Geschichten gesehen, in denen die Sicherheit großer Unternehmen aufgrund von Abhängigkeiten gefährdet war. Es gibt Möglichkeiten, diese Art von Angriffsvektor abzuschwächen – Google selbst hat damit begonnen, eine Teilmenge beliebter Open-Source-Programme zu überprüfen und zu verteilen, aber es ist fast unmöglich, den gesamten Code zu überprüfen, den ein Projekt verwendet. Indem wir die Community dazu anregen, Abhängigkeiten und Erstanbieter-Code zu prüfen, hilft Google dabei, sein Netz zu erweitern.
Gemäß den Regeln von Google hängen Auszahlungen aus dem Open Source Software Vulnerability Rewards Program von der Schwere des Fehlers sowie von der Bedeutung des Projekts ab, in dem er gefunden wurde (Fuchsia und ähnliche gelten als „Flaggschiff“-Projekte und haben daher die größte Auszahlung). Es gibt auch einige zusätzliche Regeln für Kopfgelder für Schwachstellen in der Lieferkette – Forscher müssen zuerst denjenigen informieren, der tatsächlich für das Drittprojekt verantwortlich ist, bevor sie es Google mitteilen. Sie müssen auch nachweisen, dass das Problem das Projekt von Google betrifft; Wenn in einem Teil der Bibliothek, den das Unternehmen nicht nutzt, ein Fehler auftritt, ist er nicht für das Programm berechtigt.
„Forscher können jetzt dafür belohnt werden, dass sie Fehler finden, die möglicherweise Auswirkungen auf das gesamte Open-Source-Ökosystem haben könnten.“
Google sagt außerdem, dass es nicht wolle, dass Leute sich die Dienste oder Plattformen Dritter anschauten, die das Unternehmen für seine Open-Source-Projekte nutzt. Wenn Sie ein Problem mit der Konfiguration des GitHub-Repositorys feststellen, ist das kein Problem. Wenn Sie ein Problem mit dem Anmeldesystem von GitHub feststellen, wird dieses nicht abgedeckt. (Google gibt an, dass es niemandem erlauben kann, „in ihrem Namen Sicherheitsuntersuchungen an Vermögenswerten durchzuführen, die anderen Nutzern und Unternehmen gehören“.)
Für Forscher, die nicht durch Geld motiviert sind, bietet Google an, ihre Belohnungen an eine vom Forscher ausgewählte Wohltätigkeitsorganisation zu spenden – das Unternehmen sagt sogar, dass es diese Spenden verdoppeln wird.
Offensichtlich ist dies nicht Googles erster Angriff auf ein Bug-Bounty-Programm – es gab über ein Jahrzehnt lang eine Art Belohnungsprogramm für Schwachstellen. Aber es ist gut zu sehen, dass das Unternehmen Maßnahmen gegen ein Problem ergreift, über das es Alarm geschlagen hat. Anfang dieses Jahres sagte Google im Zuge des Log4Shell-Exploits, der in der beliebten Open-Source-Bibliothek Log4j gefunden wurde, dass die US-Regierung stärker in die Suche und Behebung von Sicherheitsproblemen in kritischen Open-Source-Projekten einbezogen werden müsse. Seitdem hat das Unternehmen, wie BleepingComputer feststellt, vorübergehend die Auszahlungen für Personen erhöht, die Fehler in bestimmten Open-Source-Projekten wie Kubernetes und dem Linux-Kernel finden.
/ Melden Sie sich für Verge Deals an, um täglich Angebote für von uns getestete Produkte in Ihrem Posteingang zu erhalten.