گوگل یک برنامه جدید باگ‌بانتی راه‌اندازی کرده و جایزه آن را بین ۱۰۰ تا ۳۱ هزار و ۳۳۷ دلار در نظر گرفته است.

گوگل یک برنامه جدید باگ‌بانتی راه‌اندازی کرده و جایزه آن را بین ۱۰۰ تا ۳۱ هزار و ۳۳۷ دلار در نظر گرفته است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات) به نقل از The Register، گوگل یک برنامه باگ‌بانتی راه‌اندازی کرده است که در آن به کسانی که آسیب‌پذیری‌ها را در پروژه‌های منبع باز گوگل خود پیدا می‌کنند و گزارش می‌دهند، پاداش می‌دهد و امیدوار است که امنیت زنجیره تأمین نرم‌افزار را با این روش تقویت کند.

به گفته فرانسیس پرون و کریستوف کوتوویکز، کارمندان گوگل، برنامه پاداش آسیب‌پذیری نرم‌افزار منبع‌باز (OSS VRP) بین ۱۰۰ تا ۳۱ هزار و ۳۳۷ دلار به شکارچیان باگ پرداخت می‌کند و بالاترین جایزه‌ها مربوط به آسیب‌پذیری‌های غیرمعمول یا جالب توجه است.

علاوه بر این، پرداخت‌های کلان به محققانی تعلق می‌گیرد که آسیب‌پذیری‌ها را در حساس‌ترین پروژه‌های منبع باز تحت نظارت گوگل پیدا کرده و گزارش کنند که شامل پروژه‌های Bazel، Angular، Golang، Protocol Buffers، و Fuchsia می‌شود.

این پروژه‌ها در چندین محصول تایتان‌وب استفاده می‌شوند. به عنوان مثال، زبان برنامه‌نویسی Go طراحی‌شده توسط گوگل به‌شدت در تجزیه و تحلیل محیط‌های کانتینری استفاده می‌شود، در حالی که سیستم‌عامل Fuchsia دستگاه‌های خانه هوشمند، از جمله Nest متعلق به Alphabet را پشتیبانی می‌کند.

پس از سال ۲۰۲۱ که سالی برای حملات به زنجیره تأمین نرم‌افزار و همچنین نرم‌افزارهای منبع باز بود، آخرین VPR گوگل به دنبال هکرهایی است که حفره‌های امنیتی را که می‌تواند منجر به آسیب‌پذیری زنجیره تأمین، رمزهای عبور ضعیف، نصب برنامه‌های ناامن و مشکلات طراحی شود، شناسایی کند.

پرون و کوتوویکز نوشتند: سال گذشته شاهد افزایش ۶۵۰ درصدی حملاتی بودیم که زنجیره تأمین نرم‌افزار منبع باز را هدف قرار می‌دادند، از جمله این حوادث Codecov و آسیب‌پذیری Log4j بودند که پتانسیل مخرب یک آسیب‌پذیری منبع باز واحد را نشان داد.

آنها افزودند: برنامه باگ‌بانتی جدید گوگل بخشی از تعهد ۱۰ میلیارد دلاری ما برای بهبود امنیت سایبری، از جمله تأمین امنیت زنجیره تأمین نرم‌افزار در برابر این نوع حملات برای کاربران گوگل و مصرف‌کنندگان منبع باز در سراسر جهان است.

باگ‌بانتی اصلی گوگل که اکنون ۱۲ سال قدمت دارد، در طول سال‌ها گسترش یافته و باگ‌هایی را با تمرکز بر کروم، اندروید و سایر محصولات و پروژه‌ها رفع کرده است. اوایل ماه آگوست، پروژه capture-the-flag مبتنی بر Kubernetes گوگل انجام شد که به محققان برای سوء استفاده از باگ‌های هسته لینوکس پاداشی حدود ۱۳۳ هزار و ۵۰۰ دلار به همراه داشت.

در مجموع، گوگل سال گذشته ۸.۷ میلیون دلار پاداش به تقریباً ۷۰۰ محقق در سراسر برنامه‌های باگ‌بانتی مختلف خود پرداخت کرد.

این اقدام همچنین بخشی از تلاش گسترده‌تر شرکت‌های نرم‌افزار خصوصی و همچنین دولت فدرال برای بهبود زنجیره تأمین و امنیت منبع باز است.