Google a lancé lundi un nouveau programme de primes de bogues pour ses projets open source, offrant des paiements allant de 100 $ à 31 337 $ (une référence à eleet ou leet) pour protéger l’écosystème contre les attaques de la chaîne d’approvisionnement.
Appelée Open Source Software Vulnerability Rewards Program (OSS VRP), l’offre est l’un des premiers programmes de vulnérabilité spécifiques à l’open source.
Le géant de la technologie étant le mainteneur de projets majeurs tels que Angular, Bazel, Golang, Protocol Buffers et Fuchsia, le programme vise à récompenser les découvertes de vulnérabilités qui pourraient autrement avoir un impact significatif sur le paysage open source plus large.
D’autres projets gérés par Google et hébergés sur des référentiels publics tels que GitHub ainsi que les dépendances tierces incluses dans ces projets sont également éligibles.
Soumissions des chasseurs de bogues doivent répondre aux critères suivants –
- Vulnérabilités qui conduisent à compromettre la chaîne d’approvisionnement
- Problèmes de conception à l’origine des vulnérabilités du produit
- Autres problèmes de sécurité tels que des informations d’identification sensibles ou divulguées, des mots de passe faibles ou des installations non sécurisées
Renforcer les composants open source, en particulier les bibliothèques tierces qui agissent comme élément de base de nombreux logiciels, est devenu une priorité absolue à la suite de l’escalade constante des attaques de la chaîne d’approvisionnement ciblant Maven, NPM, PyPI et RubyGems.
La vulnérabilité Log4Shell dans la bibliothèque de journalisation Log4j Java qui a été révélée en décembre 2021 en est un excellent exemple, causant des ravages généralisés et devenant un appel au clairon pour améliorer l’état de la chaîne d’approvisionnement logicielle.
« L’année dernière a vu une Augmentation de 650 % d’une année sur l’autre dans des attaques ciblant la chaîne d’approvisionnement open source, y compris des incidents phares comme Codecov et la vulnérabilité Log4j qui ont montré le potentiel destructeur d’une seule vulnérabilité open source », Francis Perron et Krzysztof Kotowicz de Google a dit.
Cette décision fait suite à un programme de récompenses similaire que Google a institué en novembre dernier pour découvrir l’escalade des privilèges et les exploits d’évasion de Kubernetes dans le noyau Linux. Il a depuis augmenté le montant maximum de 50 337 $ à 91 337 $ jusqu’à la fin de 2022.
Plus tôt en mai, le géant de l’Internet a annoncé la création d’une nouvelle « équipe de maintenance Open Source » pour se concentrer sur le renforcement de la sécurité des projets open source critiques.