En apenas un año, los ataques contra la cadena de suministro de código abierto han aumentado un espectacular 650%.
Como publicó recientemente en su blog, Google ha anunciado que recompensará a quien informe de vulnerabilidades en el software de código abierto (OSS VRP). Actualmente, la compañía tiene varios proyectos de código abierto en marcha, como Golang, Angular y Fuchsia, y la nueva política es una continuación del apoyo constante del gigante tecnológico a los investigadores de seguridad y a los cazadores de bugs.
De hecho, su programa interno para recompensar a sus propios empleados por ayudar a salvaguardar el código de Google tiene ya la friolera de 12 años, y ya se han repartido 38 millones de dólares en total por las 13.000 aportaciones recibidas.
Ahora, el programa se centrará en la escalada de ataques contra la cadena de suministro de código abierto, incluyendo Codecov y la vulnerabilidad Log4j.
Las cantidades más importantes están dirigidos a información relevante sobre vulnerabilidades de Bazel, Angular, Golang, búferes de protocolo y Fuchsia, aunque se ampliará la lista. Se buscan, fundamentalmente, vulnerabilidades de la cadena de suministro, en el diseño de los productos y otras vulnerabilidades de seguridad, ya sen referidas a la filtración de credenciales, a la debilidad de contraseñas o a instalaciones directamente no seguras. Los premios o recompensan oscilan entre los 100 y los 31.337 dólares.