El gigante de internet y software Google pagará por encontrar errores en sus proyectos de código abierto, los principales premios se otorgarán a las vulnerabilidades encontradas en sus proyectos más sensibles.
Google pagará por encontrar errores en sus proyectos de código abierto
Este programa de recompensas se darán principalmente a quienes encuentren fallas en proyectos como: Bazel, Angular, Golang, Protocol buffers y Fuchsia.
Quien encuentre un agujero de seguridad en el código abierto de estos proyectos de Google podría obtener una recompensa de hasta 31,337 dólares.
Todo esto con el fin de tratar de prevenir un próximo ataque a su cadena de suministro de software, con lo que se espera que fortalezcan la seguridad de sus productos.
El Programa de recompensas por vulnerabilidades de software de código abierto (OSS VRP) pagará a los cazadores de errores entre 100 y 31,337, lo que representa un gran incentivo.
Los pagos más altos se destinarán a aquellas “vulnerabilidades inusuales o particularmente interesantes” según informaron Francis Perron, gerente de programas técnicos de seguridad de código abierto y el ingeniero de seguridad informática Krzysztof Kotowicz.
Los grandes pagos se destinarán a los investigadores que encuentren e informen vulnerabilidades en los proyectos más sensibles de código abierto de Google: Bazel, Angular, Golang, Protocol Buffers y Fuchsia.
Estos proyectos se utilizan en varios de los productos de Google, el lenguaje de programación Go diseñado por Google se utiliza mucho en el análisis de entornos de contenedores.
El sistema operativo Fuchsia alimenta dispositivos domésticos inteligentes, incluido Nest, propiedad de Alphabet.
Después de 2021, que resultó ser un año excepcional para Google y los ataques de software de código abierto, el VPR más reciente de Google busca estos piratas informáticos éticos para identificar los agujeros de seguridad que pueden comprometer sus productos.
La idea es identificar los problemas de diseño que causan vulnerabilidades de productos, así como credenciales filtradas, contraseñas débiles e instalaciones inseguras.
“El año pasado se produjo un aumento interanual del 650 % en los ataques dirigidos a la cadena de suministro de código abierto, incluidos incidentes destacados y la vulnerabilidad Log4j que mostró el potencial destructivo de una sola vulnerabilidad de código abierto”, escribieron Perron y Kotowicz.
Parte del compromiso de Google es invertir 10 mil millones de dólares para mejorar la seguridad cibernética.
Esto incluye la protección de la cadena de suministro contra este tipo de ataques tanto para los usuarios de Google como para los consumidores de código abierto en todo el mundo”, agregaron.
El VRP original de Google, que ahora tiene 12 años, se ha expandido a lo largo de los años y ha agregado recompensas por errores enfocadas en Chrome, Android y otros productos y proyectos.
En el mes de agosto el proyecto de Google pagó a investigadores para explotar errores en el kernel de Linux, y aumentó permanentemente sus pagos a una recompensa máxima de 133,337 dólares.
En total, Google ha pagado 8,7 millones de dólares en recompensas a casi 700 investigadores en sus diversos proyectos el año pasado.
La medida también forma parte de un esfuerzo muy grande por parte de las empresas privadas de software, así como del gobierno federal, para mejorar la cadena de suministro y la seguridad de código abierto.
En mayo, después de una reunión en la Casa Blanca, Google y otras importantes empresas tecnológicas anunciaron un compromiso de más de 30 millones de dólares para mejorar la seguridad.
Poco después, Google anunció un servicio llamado Assured Open Source Software que intenta facilitar a las empresas la protección de sus dependencias de software de código abierto.
Si bien las recompensas por errores bien administradas siempre son bienvenidas, se dice que Google está por debajo en comparación con el efectivo que ofrecen otras compañías y competidores.
Ver también: