Google ha lanciato un nuovo programma di sviluppo mirato allo Tsunami Security Scanner.
Il 28 settembre, Guoli Ma, Sebastian Lekies e Claudio Criscione, membri del team di gestione delle vulnerabilità di Google, hanno dichiarato in un post sul blog che il nuovo programma è progettato per migliorare le capacità di rilevamento della sicurezza di Tsunami.
Lo Tsunami Security Scanner , open source nel luglio 2020, era originariamente uno strumento interno di Google e da allora è stato pubblicato e reso disponibile al pubblico.
Lo scanner è progettato per controllare le reti aziendali su larga scala per le porte aperte e quindi per un controllo incrociato dell'esposizione alla vulnerabilità in base ai risultati della ricognizione iniziale. I plugin possono essere implementati dagli utenti per verificare specifiche falle di sicurezza. Tsunami può anche verificare problemi di sicurezza di base, incluso l'uso di credenziali aziendali deboli.
Google afferma che il nuovo programma sperimentale offrirà ai ricercatori ricompense per le patch per la creazione di plug-in e impronte digitali delle applicazioni. Il primo richiede ai contributori di sviluppare plug-in che possono essere utilizzati per il rilevamento avanzato delle vulnerabilità, mentre il secondo richiede moduli di applicazioni Web che possono essere utilizzati per rilevare app Web standard in una rete aziendale.
L'azienda è maggiormente interessata ai bug di gravità elevata e critica che possono avere un impatto reale sulla sicurezza aziendale.
“La vulnerabilità dovrebbe avere un livello di gravità elevato o critico se è già stato assegnato un ID CVE (punteggio CVSS >= 7.0)”, afferma Google. “Se non è stata ancora assegnata alcuna gravità, il team dello scanner Tsunami eseguirà il triage e determinerà la gravità. Questo di solito include vulnerabilità come Remote Code Executions (RCE), caricamento arbitrario di file, configurazioni errate di sicurezza che comportano l'esposizione di pannelli di amministrazione sensibili, e così via.”
Il gigante della tecnologia afferma che Tsunami ha anche bisogno di più dati sulle impronte digitali per le app Web più diffuse che potrebbero contenere bug che influiscono sulla sicurezza di una rete più ampia. Se i team IT non si rendono conto di essere presenti, ciò potrebbe significare che vengono trascurati nei processi di patch.
I contributi sono supervisionati dal team di gestione delle vulnerabilità di Google.
A luglio, Google ha annunciato una nuova piattaforma di bug bounty, https://bughunters.google.com. Il centro risorse riunisce tutti i Vulnerability Rewards Programs (VRP) dell'azienda, inclusi Google, Android, Abuse, Chrome e Play per semplificare il processo di divulgazione delle vulnerabilità.
È su questa piattaforma che chi è interessato al programma Tsunami può trovare gli elenchi in ambito per i contributi agli strumenti open source e Tsunami.
I premi finanziari variano. Per le impronte digitali delle applicazioni web, Google è disposta a pagare una tariffa fissa di $ 500 per ogni impronta digitale aggiunta al database di Tsunami. Quando si tratta di plug-in, sono offerti fino a $ 3.133, a seconda della gravità di una vulnerabilità e del fatto che sia emergente o meno.
.Copertura precedente e correlata
HackerOne espande il progetto Internet Bug Bounty per affrontare i bug open source
Google annuncia una nuova piattaforma bug bounty
La Graph Foundation lancia il programma bug bounty
Hai un consiglio? Mettiti in contatto in modo sicuro tramite WhatsApp | Segnale al +447713 025 499 o tramite Keybase: charlie0
Argomenti correlati:
Security TV Data Management CXO Data Center 