octombrie 6, 2022

Obiectiv Jurnalul de Tulcea – Citeste ce vrei sa afli

Informații despre România. Selectați subiectele despre care doriți să aflați mai multe

Google atrage vânătorii de recompense către proiecte open source – Securitate

Google a adăugat o recompensă pentru erori care se concentrează pe proiectele sale open source.

Proiectele open source ale companiei includ software bine-cunoscut, cum ar fi limbajul Go, mediul pentru dezvoltatori web Angular și sistemul de operare Fuchsia, cu erori dovedite pentru a-și câștiga descoperitorii între 100 USD (147 USD) și 31.337 USD (sfat pentru discuția cu calculatorul). despre „Elite”).

Alte proiecte notabile în prezent în domeniul de aplicare a recompenselor includ sistemul de compilare Bazel și tampon-urile de protocol utilizate pentru secvențierea datelor structurate.

„După lansarea inițială, intenționăm să extindem această listă”, a declarat Francis Perron, managerul programului tehnic de securitate Google Open Source și inginerul de securitate a informațiilor Krzysztof Kotovic. A scris.

Cuplul a spus că principalele preocupări ale programului, așa cum este acum, sunt „vulnerabilitățile care duc la compromisuri în lanțul de aprovizionare, probleme de design care cauzează vulnerabilități ale produselor și alte probleme de securitate, cum ar fi acreditările sensibile sau scurse, parolele slabe sau instalările nesigure. .” „.

Supply Chain Hacking acoperă „abilitatea de a pirata codul sursă Google OSS și de a crea articole sau pachete care sunt distribuite utilizatorilor prin intermediul managerilor de pachete”.

Vulnerabilitățile din produs sunt probleme directe, cum ar fi corupția memoriei, eșecul igienizării, parcurgerea căilor, valorile implicite proaste sau chiar exemple de cod nesigur din documentație.

Există și alte categorii de erori care vor fi recunoscute: acreditări sensibile, parole slabe în produsele terțe sau instrucțiuni de instalare și utilizare care „compromit securitatea dezvoltatorilor care lucrează la produs”.

Google recunoaște dependențele de proiecte open source, așa că pune în mod explicit vulnerabilitățile terțelor părți în domeniul de aplicare al programului.

READ  [UPDATE] Designerul narativ maestru Halo Infinite părăsește 343 de industrii în căutarea unor noi oportunități

Atâta timp cât cercetătorul notifică întreținătorul de pachete terță parte, Google va accepta o vulnerabilitate dacă aceasta poate fi rulată sau exploatată în pachetul Google open source; Acestea sunt partajate în cel mult 30 de zile după ce remedierea inițială este disponibilă.

Cu toate acestea, „serviciile sau platformele” terțe părți nu sunt în domeniu.

Există trei niveluri de proiect care acoperă proiectele principale (Bazel, Angular, Golang, Protocol buffers și Fuscia); Proiecte OSS standard; și proiecte OSS cu prioritate scăzută (acestea pot fi proiecte pilot, eșantion, mici sau cu activitate redusă).